Bloquear pessoas procurando por páginas de administração do servidor

Navegue suas respostas
2

De vez em quando, folheio nosso registro de acesso (apache) e muitas vezes encontro pessoas tentando pescar páginas de administração. Por exemplo, eles estão tentando acessar páginas como: 

/wp-login.php
/administrator/index.php
/admin.php
/user

Nenhuma dessas páginas / diretórios existe como nunca ou eu os renomei para algo não muito óbvio.

Então, as pessoas bloqueiam ativamente esse tipo de solicitação? Eu às vezes faço, mas eu fico muito, e eu estou querendo saber se isso realmente faz diferente. Atualmente eu bloqueio o host ou IP no meu arquivo httpd.conf.

Estou preocupado com nada?

(FYI - executando o Apache em um servidor baseado em 'linux').

EDIT: Da perspectiva de 'sub-enterprise' (nível de pequenas e médias empresas).

    
por Hubbo 05.03.2015 / 02:04

3 respostas

2

Existem algumas vantagens em bloquear essas solicitações no nível do firewall, a saber:

  • O IPTABLES usa menos recursos para bloquear a conexão do que o Apache faz para retornar um erro.
  • Ele manterá seus arquivos de log menores e mais limpo.

Você mencionou o bloqueio dos hosts no httpd.conf. Isso não é tão útil .. Os bots estão recebendo um 404 de qualquer maneira, não beneficia você nem os prejudica em enviar um código de erro diferente (que é todo o bloqueio no arquivo httpd.conf)

O único benefício do bloqueio no httpd.conf é que um host mal-intencionado que está tentando invadir uma página não existente agora pode tentar hackear uma página real posteriormente. Naturalmente, você pode obter o mesmo benefício bloqueando no nível do firewall, junto com as outras vantagens mencionadas acima.

tl; dr: bloqueia os pedidos, com o fail2ban, não com o httpd.conf

    
por 05.03.2015 / 06:08
0

Algumas pessoas bloqueiam essas solicitações. No entanto, fazer isso é meio que inútil, uma vez que eles são inofensivos. Os rastreadores rastreiam a Internet procurando por coisas o tempo todo, seja para hackar ou para indexar. Esses tipos de varreduras não valem o trabalho de bloquear, e seu bloqueio pode acabar impedindo a indexação ou captura de um usuário real compartilhando um IP com esse bot (raramente).

Se as entradas de log estiverem incomodando você, provavelmente você deve estar usando um agregador de log; assistir logs é uma droga, e você vai sentir falta de coisas, e você vai se fixar em coisas irrelevantes como essa.

    
por 08.09.2015 / 02:50
-1

Em nossa organização, usamos um firewall de aplicativo da web (o Módulo de Segurança de Aplicativo [ASM] da F5) para bloquear esses tipos de solicitações. Funciona primeiro aprendendo um banco de dados de URLs aceitáveis. É inteligente o suficiente para descobrir todos os links estáticos, bem como links que podem ser variáveis. Por exemplo, se um ID único ou de token estiver incluído em uma solicitação, ele aplicará limites ao tamanho do código na URL com base no que foi visto no passado. Além disso, ele tem um banco de dados regularmente atualizado de outras coisas que ele cuida, como SQL ou BASH em uma cadeia de caracteres de URL ou agente do usuário.

Embora você possa não estar vulnerável agora aos tipos de ataques que está vendo, você não pode garantir que não estará vulnerável no futuro ou que está vulnerável a algo que ainda não viu ou que ainda não foi descoberto. Além disso, algo como esta solução pode ajudar a proteger contra ataques DDoS. Você sabe que está sendo segmentado regularmente e isso gera algum custo no processamento de sua infraestrutura que pode ser diminuído. Se você sabe que está sendo alvo de ataques regulares, 1) alguém está realmente tentando muito chegar lá, 2) você é um alvo óbvio ou 3) você é um alvo de alto valor. Mais comumente é 2) e mais comumente é de uma ampla gama de IPs de origem e, portanto, não é facilmente bloqueado.

Quanto a se vale a pena o dinheiro para isso, isso é realmente uma decisão de negócios. Você deve ponderar o custo de uma possível violação do custo da solução ou soluções, bem como ter uma apólice de seguro. Pode não cobrir todas as situações e nunca pode pagar para tê-lo. Ou pode ser o que te salva.

    
por 05.03.2015 / 06:23

Tags

o serviço firewalld está em execução, mas o firewall-cmd não funciona Erro de duplicidade: BackendException: conexão ssh a SERVER_IP: 22 com falha: servidor desconhecido SERVER_IP