А кто у нас с апачем дружит?

← →
Алканавт расправил плечи (2013-06-06 20:30) [0]

Ситуация такая: есть обычный серверок linux-apache-php-mysql, на который периодически ломятся кулхацкеры и пытаются залезть на /phpmyadmin*/setup.php. По большому счёту пофиг, так как phpmyadmin у меня всё равно отсутствует, но хочется подгадить.

Что хотелось бы: по обращению к адресу ‪/w00t w00t. at.bl ackha ts.ro mania n.ant&#82 02;i-sec :) ‬ (атаки начинаются с этого) хотелось бы все обращения с данного айпи или игнорить (пока сам по таймауту не отвалится), или хотя бы выдавать forbidden. Совсем хорошо, если через пару часов айпишник из чёрного списка удалять.

Куда вообще копать? Пока единственная идея — повесить на «проблемный» урл пхп-скрипт, который будет запускать iptables и блокировать айпишник, но что-то мне эта идея совсем не нравится.

← →
Pavia © (2013-06-06 20:52) [1]

> Куда вообще копать? Пока единственная идея — повесить на
> «проблемный» урл пхп-скрипт, который будет запускать iptables
> и блокировать айпишник, но что-то мне эта идея совсем не
> нравится.

Нормальная идея.
1. Стадия это сценарий.
2. Стадия это уже apache.
3. Стадия драйвер.

По IP лучше не банить, а то можно забанить и обычных пользователей.
Банить надо по ID пользователя. Затем по ID сесии.
Если не помогает, то тогда банишь по IP.

По поводу скрипт vs apache.
Можно делать итак и так как тебе проще.
На apache будешь банить если будет DDOS атака.
При ддосе скрипт будет грузить сервер сильно apache лежит уровням выше и может отрабатывать на автомате без дополнительных проверок и обработки запросов. Тем самым экономя ресурсы сервера.
Если Apache не помогает, то надо выходить уже на другой уровень. На сервис дата-центра или на сервис провайдера.

← →
Алканавт расправил плечи (2013-06-06 20:56) [2]

> По IP лучше не банить, а то можно забанить и обычных пользователей.
Да и фиг с ними, мифическими обычными. Сайт некоммерческий, для удовольствия собственного и десятка-другого знакомых, и я не думаю, что кто-то из двух-трёх посетителей в сутки станет стучаться на w00tw00t.далее.по.тексту.

← →
Сергей М. © (2013-06-06 21:27) [3]

> что-то мне эта идея совсем не нравится

Вряд ли она кому-то понравится, потому что и апач и пхп в этой идее - лишние звенья.
Сигнатура атакующих запросов имеется и устойчива ?
Этого достаточно для организации рубежа обороны средствами iptables + Level7-фильтра, задействованного в соответствующем блокирующем правиле.

← →
Rouse_ © (2013-06-06 21:33) [4]

> Алканавт расправил плечи (06.06.13 20:30)

А зачем тебе это нужно?
Меня тоже постоянно на различные админки сайта, баз и гостевух тестят.
SQL запросы пишут и прочее - да и флаг им в руки,у меня все статическое, а расширение PHP у страниц сайта это только для того чтоб инклуды верно отрабатывали :)
Не заморачивайся - видишь люди заняты серьезным делом, зачем им мешать? :)

← →
Сергей М. © (2013-06-06 21:35) [5]

Если с этим сложно, то можно и squid в прозрачном проксирующем режиме подключить к обороне - прописать в нем правило и футболить, не пуская такие запросы к апачу

← →
Алканавт расправил плечи (2013-06-06 22:05) [6]

> средствами iptables + Level7-фильтра
Ага, что-то про L7-filters нашлось, буду читать, спасибо.

> А зачем тебе это нужно?
Ну вот такая я несимпатичная личность…

> а расширение PHP у страниц сайта это только для того чтоб
> инклуды верно отрабатывали
А у меня обычный блог на вордпрессе. Но почему-то никаких вордпресс-специфичных запросов до сих пор от кулхацкеров не поступало.

> но хочется подгадить

кому, ботам-сканерам?
вся эта активность вообще не стоит внимания.

А кто у нас с апачем дружит? Найти похожие ветки