Является ли создание поддельного файла, который не используется, жизнеспособной приманкой?

Question

Является ли создание поддельного файла, который не используется, жизнеспособной приманкой?

В настоящее время у нас размещено более 300 сайтов/установок WordPress, и я экспериментирую с усилением безопасности WordPress с помощью самодельных усилий.

Я как айтишник смотрю логи..Все время смотрю логи и заметил непомерное количество попаданий наxmprpc.php-- Итак, я подумал: если мы его не используем, и, учитывая нашу нишу, никто на законных основаниях не должен использовать этот файл, зачем его отключать? Почему бы не создать горшок с медом?

Что я сделал, в установке(ях) я дал символическую ссылкуxmlrpc.phpкphpфайл на сервере. ИЕ

      ln -s /var/www/myScripts/honeyPot/xmlrpc.php /var/www/example_0.com/xmlrpc.php
ln -s /var/www/myScripts/honeyPot/xmlrpc.php /var/www/example_1.com/xmlrpc.php
ln -s /var/www/myScripts/honeyPot/xmlrpc.php /var/www/example_2.com/xmlrpc.php

Затем я сделал файл неизменяемым, чтобы предотвратить его подделку:

      chmod 0 /var/www/myScripts/honeyPot/xmlrpc.php
chattr +i /var/www/myScripts/honeyPot/xmlrpc.php

Моя версияxmlrpcпросто собирает различную информацию через_SERVER _POST _GETи_SESSION. Затем он приступает к получению IP-адреса этого конкретного пользователя через API.

Например, этот IP40.69.167.21ударил, и API вернулся сMicrosoft Corporation | CIDR 40.64.0.0/13

Затем мой сценарий продолжает сохранять собранную информацию, иCIDRв таблице MySQL, после чего написанный мной сценарий CRON вставляет правило в брандмауэр UFW.

       ufw insert 1 deny from 40.64.0.0/13 to any

Поскольку я блокирую целые блоки IP-адресов, за последние две недели это значительно сократило веб-трафик и количество записей в журналах. На данный момент у меня не было никаких жалоб от клиентов, и пока все кажется хорошо. Может ли кто-нибудь увидеть какие-либо недостатки в использовании файла, который в любом случае не следует использовать в нашей настройке, для перехвата этих IP-адресов по мере их поступления?

Кроме того, является ли это жизнеспособным решением для примерно 15 имен файлов, которые мы не используем, но которые регулярно подвергаются атакам ботов, желающих использовать их?

В основном это был эксперимент, но я думаю, что могу что-то сказать.

0

security wordpress honeypot

Источник

Zak 10 авг '23 в 22:10

0 ответов

Другие вопросы по тегам security wordpress honeypot