0

サーバーのエラー ログを見ると、中国、タイなどの IP アドレスから、「manager」、「phpmyadmin」、「admin」、cgi-bin など、存在しないディレクトリにアクセスしようとする試みが多数見られます。など。「w00tw00t.at.blackhats.romanian.anti-sec:」および「HNAP1」と呼ばれるものに対して、奇妙な繰り返し要求がいくつかあります。

リクエストをリクエスト元の IP アドレスにリダイレクトする .htaccess ルールを作成する方法を考えていましたが、同じ 4 つまたは 5 つの存在しないディレクトリが常に試行されることを考えると、これらのダートバッグを苛立たせる他の厄介なトリックがあるかどうか疑問に思いました。 .

更新: 以下の「Michael - sqlbot」の提案に従って、サーバーに mod_security をターピットとして設定しようとしました。問題なくインストールして構成しましたが、構成スクリプトをコンパイルしていることを確認できますが (構文エラーを導入して httpd を再起動することで確認できます)、望ましくないアクセス試行を無視しているようです。

これが /etc/httpd/modsecurity.d/activated_rules/tarpit.conf にあるものです

<IfModule mod_security2.c>
    SecRuleEngine On
    SecDefaultAction log,allow,status:406,phase:2
    SecRule REQUEST_URI phpmyadmin t:lowercase,id:14142,pause:5000,log,noauditlog,status:402,deny

    SecDebugLog /var/log/httpd/modsec_debug.log
    SecDebugLogLevel 0
</IfModule>

modsec_debug.log ファイルは最初に作成されますが、常に空です。mydomain.com/phpmyadmin を要求すると、mod_security が存在しないかのように通常の 403 エラーが返されます。(403 エラーが発生する理由はわかりません。おそらく、長い間存在していなかった phpmyadmin ディレクトリへの古いシンボリック リンクが原因である可能性があります)。

4

1 に答える 1

0

あなたはおそらく生きている人によってスキャンされているわけではないので、彼らに何かを見せようとしてもほとんど意味がありません. スクリプトによってスキャンされている可能性があります。スクリプトは、スキャンしている脆弱性と一致しない応答を無視します。

私のサーバーの前には、「tarpit」機能を持つ「haproxy」があります...疑わしい/迷惑なパターンに一致するリクエストが到着すると、「tarpitted」になります-数秒(設定可能)の遅延の後、応答は「500 Internal Server Error」で、接続は閉じられます。

私にとって、最も満足のいく部分は遅延です。彼らは明らかに可能な限り短い時間でできるだけ多くのホストをスキャンしようとしているので、長い遅延は時間を無駄にします. 副次的なボーナスとして、リクエストは Apache に転送されないため、Apache ログに到達しません。明らかに、haproxy はこれらのリクエストをほとんどオーバーヘッドなしで処理できます。

どうやら、試したことはありませんが、Apache自体でこれを行うことができます。「apache」と「tarpit」をグーグル検索して見つけたアプローチの 1 つを次に示します。

http://edvoncken.net/2010/08/annoyed-by-phpmyadmin-scans-set-up-a-tarpit-with-mod_security/

その目的のために特別に設定された法執行機関のターゲットを攻撃するようにリダイレクトを送信できれば面白いでしょうが、それを除けば、同意なしにあなたの偏向スキームに第三者を巻き込むことは.倫理的に疑わしい。

于 2014-02-07T12:48:16.623 に答える