Блокировка "тычков" нашей системы

Question

Блокировка "тычков" нашей системы

Мы получаем тонны из них в нашем журнале ошибок apache каждый день.

[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpmyadmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpMyAdmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmd
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pma
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/mysql
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/admin

Есть ли способ:

Блокировать их от входа?
Блокировать IP-адреса, которые делают это? Составить список из них, чтобы заблокировать?

Этот конкретный IP имел 54 разных "тыка". Они приходят с разных IP-адресов, поэтому я не уверен, что делать.

0

apache-2.2 security brute-force-attacks intrusion-prevention

Источник

MB34 18 окт '18 в 14:03

1 ответ

Решение

Другие вопросы по тегам apache-2.2 security brute-force-attacks intrusion-prevention

bgtvfr 18 окт '18 в 14:11 2018-10-18 14:11 · Accepted Answer · 2018-10-18 14:11

Блокировать их от входа?

Это не очень хорошая идея: избавление от логов никогда не улучшит безопасность:)

Блокировать IP-адреса, которые делают это? Составить список из них, чтобы заблокировать?

Это именно та работа, для которой был разработан fail2ban. По умолчанию он временно блокирует этот IP.

Может быть, решение, которое вы ищете, это fail2ban.

Fail2ban сканирует файлы журналов (например, /var/log/apache/error_log) и блокирует IP-адреса, которые показывают вредоносные признаки - слишком много сбоев паролей, поиск эксплойтов и т. Д. Обычно Fail2Ban затем используется для обновления правил брандмауэра для отклонения IP-адресов в течение определенного периода времени, хотя любое другое произвольное действие (например, отправка электронного письма) также может быть настроено.

Источник: https://www.fail2ban.org/wiki/index.php/Main_Page