Eu verifico periodicamente os logs do meu servidor e noto que muitos rastreadores pesquisam a localização do phpmyadmin, zencart, roundcube, seções do administrador e outros dados confidenciais. Em seguida, há também rastreadores sob o nome "Morfeus Fucking Scanner" ou "Morfeus Strikes Again" procurando vulnerabilidades em meus scripts PHP e rastreadores que executam solicitações GET estranhas (XSS?) Como:
GET /static/)self.html(selector?jQuery(
GET /static/]||!jQuery.support.htmlSerialize&&[1,
GET /static/);display=elem.css(
GET /static/.*.
GET /static/);jQuery.removeData(elem,
Até agora eu sempre armazenei esses IPs manualmente para bloqueá-los usando o iptables. Mas, como essas solicitações são realizadas apenas um número máximo de vezes a partir do mesmo IP, estou tendo minhas dúvidas se elas fornecem alguma vantagem relacionada à segurança, bloqueando-as.
Gostaria de saber se é bom para alguém bloquear esses rastreadores no firewall e, em caso afirmativo, se há uma maneira (não muito complexa) de fazer isso automaticamente. E se for um desperdício de esforço, talvez porque essas solicitações venham de novos IPs depois de algum tempo, se alguém puder elaborar isso e talvez fornecer sugestões de maneiras mais eficientes de negar / restringir o acesso a rastreadores mal-intencionados.
FYI: Eu também já estou bloqueando w00tw00t.at.ISC.SANS.DFind:) rastreios usando estas instruções: link
Usamos firewalls baseados em hardware da Cisco, em vez de firewalls baseados em software de servidor, e eles atentam a padrões de atividade e os bloqueiam por um bom tempo (30 a 90 dias por dia). Tenho certeza de que outros firewalls podem fazer isso, mas não têm experiência. Basicamente, o que estou dizendo é que, se o seu firewall puder usar regras para procurar por abuso, você verá o benefício de simplesmente bloquear os culpados conhecidos.
Se vale a pena é discutível e eu realmente não sei.
Tanto quanto a sua reclamação sobre o fato de que eles vêm de IPs diferentes e você só pode reagir bloqueando o ip ... Você pode corrigir isso com um proxy reverso como o Apache no modo de proxy reverso (com algo como mod_proxy / mod_security ) ou HAProxy. Basicamente, se você conhece os padrões com antecedência, pode soltar essas solicitações antes que elas cheguem ao servidor da Web.
Além disso, para um pouco de vocabulário, esses firewalls são chamados de Web Application Firewalls (WAFs). Eles operam na Camada 7 examinando as solicitações e respostas HTTP.
você pode sempre pegar algumas das strings / GETs que você está encontrando e já que você já tem o módulo de strings para o iptables, log / dropar esses pacotes, e potencialmente automatizar adicioná-los a um firewall com um script.
em geral, eu diria que você é bom para bloquear esses IPs, porque eles podem ter sido comprometidos de alguma forma ou de outra, e se eles foram comprometidos, e você está pegando um ataque, você pode estar faltando outro.