Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2013.11.24;
Скачать: [xml.tar.bz2];

Вниз

А кто у нас с апачем дружит?   Найти похожие ветки 

 
Алканавт расправил плечи   (2013-06-06 20:30) [0]

Ситуация такая: есть обычный серверок linux-apache-php-mysql, на который периодически ломятся кулхацкеры и пытаются залезть на /phpmyadmin*/setup.php. По большому счёту пофиг, так как phpmyadmin у меня всё равно отсутствует, но хочется подгадить.

Что хотелось бы: по обращению к адресу ‪/w00t w00t. at.bl ackha ts.ro mania n.ant&#82 02;i-sec :) ‬ (атаки начинаются с этого) хотелось бы все обращения с данного айпи или игнорить (пока сам по таймауту не отвалится), или хотя бы выдавать forbidden. Совсем хорошо, если через пару часов айпишник из чёрного списка удалять.

Куда вообще копать? Пока единственная идея — повесить на «проблемный» урл пхп-скрипт, который будет запускать iptables и блокировать айпишник, но что-то мне эта идея совсем не нравится.


 
Pavia ©   (2013-06-06 20:52) [1]


> Куда вообще копать? Пока единственная идея — повесить на
> «проблемный» урл пхп-скрипт, который будет запускать iptables
> и блокировать айпишник, но что-то мне эта идея совсем не
> нравится.

Нормальная идея.
1. Стадия это сценарий.
2. Стадия это уже apache.
3. Стадия драйвер.

По IP лучше не банить, а то можно забанить и обычных пользователей.
Банить надо по ID пользователя. Затем по ID сесии.
Если не помогает, то тогда банишь по IP.

По поводу скрипт vs apache.
Можно делать итак и так как тебе проще.
На apache будешь банить если будет DDOS атака.
При ддосе скрипт будет грузить сервер сильно apache лежит уровням выше и может отрабатывать на автомате без дополнительных проверок и обработки запросов. Тем самым экономя ресурсы сервера.
Если Apache не помогает, то надо выходить уже на другой уровень. На сервис дата-центра или на сервис провайдера.


 
Алканавт расправил плечи   (2013-06-06 20:56) [2]


> По IP лучше не банить, а то можно забанить и обычных пользователей.
Да и фиг с ними, мифическими обычными. Сайт некоммерческий, для удовольствия собственного и десятка-другого знакомых, и я не думаю, что кто-то из двух-трёх посетителей в сутки станет стучаться на w00tw00t.далее.по.тексту.


 
Сергей М. ©   (2013-06-06 21:27) [3]


> что-то мне эта идея совсем не нравится


Вряд ли она кому-то понравится, потому что и апач и пхп в этой идее - лишние звенья.
Сигнатура атакующих запросов имеется и устойчива ?
Этого достаточно для организации рубежа обороны средствами iptables + Level7-фильтра, задействованного в соответствующем блокирующем правиле.


 
Rouse_ ©   (2013-06-06 21:33) [4]


> Алканавт расправил плечи   (06.06.13 20:30) 

А зачем тебе это нужно?
Меня тоже постоянно на различные админки сайта, баз и гостевух тестят.
SQL запросы пишут и прочее - да и флаг им в руки,у меня все статическое, а расширение PHP у страниц сайта это только для того чтоб инклуды верно отрабатывали :)
Не заморачивайся - видишь люди заняты серьезным делом, зачем им мешать? :)


 
Сергей М. ©   (2013-06-06 21:35) [5]

Если с этим сложно, то можно и squid в прозрачном проксирующем режиме подключить к обороне - прописать в нем правило и футболить, не пуская такие запросы к апачу


 
Алканавт расправил плечи   (2013-06-06 22:05) [6]


> средствами iptables + Level7-фильтра
Ага, что-то про L7-filters нашлось, буду читать, спасибо.


> А зачем тебе это нужно?
Ну вот такая я несимпатичная личность…


> а расширение PHP у страниц сайта это только для того чтоб
> инклуды верно отрабатывали
А у меня обычный блог на вордпрессе. Но почему-то никаких вордпресс-специфичных запросов до сих пор от кулхацкеров не поступало.


 
RWolf ©   (2013-06-06 23:04) [7]


> но хочется подгадить

кому, ботам-сканерам?
вся эта активность вообще не стоит внимания.



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2013.11.24;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.46 MB
Время: 0.002 c
15-1370631977
NanoWeber
2013-06-07 23:06
2013.11.24
форумы нано


2-1360945552
alexdn
2013-02-15 20:25
2013.11.24
FastSize


15-1370081918
Rouse_
2013-06-01 14:18
2013.11.24
Про сортировочку


2-1361050015
Zuide
2013-02-17 01:26
2013.11.24
Prorisovat knopku


11-1248772086
Антон Кивва
2009-07-28 13:08
2013.11.24
Не могу скомпилировать проект.





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский