0

查看我的服务器错误日志,我看到很多来自中国、泰国的 IP 地址的尝试,以及试图访问不存在的名为“manager”、“phpmyadmin”、“admin”的目录,以及 cgi-bin 中的任何内容,以及类似。有几个奇怪的重复请求称为“w00tw00t.at.blackhats.romanian.anti-sec:”和“HNAP1”。

我正在考虑如何编写 .htaccess 规则以将请求重定向回请求的 IP 地址,但想知道是否还有其他讨厌的技巧会挫败这些垃圾袋,因为总是尝试相同的 4 或 5 个不存在的目录.

更新:按照下面“Michael - sqlbot”的建议,我尝试在我的服务器上将 mod_security 设置为 tarpit。我安装得很好,并配置了它,但即使我可以验证它正在编译我的配置脚本(通过引入语法错误并重新启动 httpd 来验证),它似乎忽略了不受欢迎的访问尝试。

这是我在 /etc/httpd/modsecurity.d/activated_rules/tarpit.conf 中的内容

<IfModule mod_security2.c>
    SecRuleEngine On
    SecDefaultAction log,allow,status:406,phase:2
    SecRule REQUEST_URI phpmyadmin t:lowercase,id:14142,pause:5000,log,noauditlog,status:402,deny

    SecDebugLog /var/log/httpd/modsec_debug.log
    SecDebugLogLevel 0
</IfModule>

modsec_debug.log 文件最初创建但始终为空。请求 mydomain.com/phpmyadmin 只会返回通常的 403 错误,就好像 mod_security 不存在一样。(我不确定为什么会收到 403 错误,可能是由于我必须使用旧的符号链接到 phpmyadmin 目录,该目录已经很久没有存在了)。

4

1 回答 1

0

您可能没有被真人扫描,因此尝试给他们一些东西看是没有意义的。您可能会被脚本扫描,这会忽略任何与他们正在扫描的漏洞不一致的响应。

在我的服务器前面,我有“haproxy”,它具有“tarpit”功能......当与可疑/烦人模式匹配的请求到达时,它会被“tarpitted”——在延迟几秒(可配置)之后,响应为“500 Internal Server Error”,连接关闭。

对我来说,最满意的部分是延迟。他们显然试图在尽可能短的时间内扫描尽可能多的主机,所以长时间的延迟会浪费他们的时间。附带的好处是,请求不会进入 apache 日志,因为它从未转发到 apache,显然 haproxy 能够以很少的开销为这些请求提供服务。

显然,这可以用 apache 本身来完成,虽然我还没有尝试过。这是我通过谷歌搜索“apache”和“tarpit”找到的一种方法。

http://edvoncken.net/2010/08/annoyed-by-phpmyadmin-scans-set-up-a-tarpit-with-mod_security/

如果可以向他们发送重定向,这将导致他们攻击专门为此目的设置的执法目标,那将会很有趣,但除此之外,在未经他们同意的情况下让第三方参与您的偏转计划是道德上可疑。

于 2014-02-07T12:48:16.623 回答