Eu tenho uma VM rodando cerca de 100 sites, eu corro logwatch, blockhosts & mod_evasive, e entre os três eu tenho uma boa ideia do que acontece diariamente ... no entanto, recebo muitos pedidos como:
/cgi-bin/commerce.cgi?search=/../../../../../../../../../../etc/passwd%00&category=A001 HTTP Response 302
/cgi-bin/commerce.cgi?register=../../../../../../../../../../proc/self/environ HTTP Response 302
/cgi-bin/commerce.cgi?display=/etc/passwd HTTP Response 302
/cgi-bin/commerce.cgi?display=../../../../../../../../../../proc/self/environ HTTP Response 302
/cgi-bin/commerce.cgi?search=/../../../../../../../../../../proc/self/environ%00&category=A001 HTTP Response 302
não é grande coisa - eles nunca foram a lugar nenhum, no entanto, eu gostaria de uma maneira simples e simples de adicionar os IPs solicitantes à lista de bloqueios em hosts.allow ...
diga qualquer pedido que contenha / etc / passwd ou / proc / self /
algum pensamento?
Você deseja mod_security ( link ); existem conjuntos de regras pré-escritos para capturar ataques de diretório-travessia (e centenas de outros) e recursos simples para responder. por exemplo:
Você pode usar Fail2Ban para assistir a logs e adicionar automaticamente IPs ofensivos à lista de bloqueios do firewall. Além disso, ele pode desbloqueá-los após um determinado período de tempo (caso seja um PC de botnet ou IP dinâmico).
O Fail2Ban fará isso, mas vale a pena? Responda a minha pergunta sobre como bloquear ips fazendo ataques de força bruta com Logins SSH sugeriram que não valeu a pena o esforço, e isso pode ser o mesmo aqui.
Tags security apache-2.2