Estou ficando entediado com todos esses scripts muieblackcat e similares executados em sites. Posso bloquear um endereço IP (por exemplo, com iptables ) automaticamente, como por uma hora ou mais, assim que ele acessa example.com/muieblackcat ?
Isso é no Linux, com o Apache.
Considere colocar essas solicitações em ordem.
HAProxy (e eu assumo outros proxies HTTP) tem a capacidade de identificar acessos de verificação 'maliciosos' e atrasar a resposta (temporariamente retardando o script de ataque).
Bloquear totalmente a resposta só fará com que o script ataque se mova imediatamente para o próximo alvo.
Você poderia, mas isso tornaria os ataques de negação de serviço triviais. Tudo o que um invasor precisa fazer é acessar seu site por meio do mesmo proxy que estou usando, acessar um desses URLs e não posso acessar seu site. Ainda existem cidades inteiras que usam um proxy da Web.
Veja Fail2Ban , ele também pode analisar arquivos de log do Apache.
Eu começaria usando um programa para assistir os arquivos de log; se uma determinada URL for acessada, ela deve aparecer nos logs do Apache. Você pode usar a SEC para observar esse acesso à URL.
Quando o acesso à URL acontece, o SEC pode executar um comando iptables para bloquear o endereço IP.