Impulso de brute IPs

Navegue suas respostas
1

Eu tenho IPs aleatórios constantemente direcionados ao meu servidor Apache. Uma amostra do que recebo no meu log: 

80.108.96.31 - - [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)"
200.163.163.189 - - [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3)"
45.51.75.129 - - [18/Aug/2017:16:16:08 +0000] "GET /user.xml HTTP/1.1" 403 517 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)"
83.130.137.207 - - [18/Aug/2017:16:16:08 +0000] "GET /user.xml HTTP/1.1" 403 517 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E)"
180.191.87.191 - - [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3)"

Implementei o fail2ban para verificar o log de acesso e bani-lo por um ano, mas acabei tendo esses enormes logs de acesso e o disco do servidor ficou cheio apenas dos logs de acesso. Ajuda por favor.

    
por Kal 18.08.2017 / 18:58

1 resposta

2

Você provavelmente desejará instalar o LogRotate para ajudar a manter os logs um pouco mais organizados.

O Fail2Ban pode funcionar para o que você está tentando fazer, mas talvez seja necessário criar alguns filtros detalhados para obter os resultados que você está procurando, simplesmente apontando Fail2Ban no log de acesso e definindo um longo temporizador não é vai ajudar em tudo.

Além disso, se você receber muitos pedidos, é provável que um ataque distribuído e o bloqueio de um único IP por vez com o Fail2Ban possa não ser a melhor abordagem - no entanto, se for assim que você quiser, eu crie filtros especificamente para user.xml, machine.xml e para qualquer pessoa que crie mais de alguns 403s em um determinado período de tempo.

Você pode criar suas próprias regras de firewall e descartar qualquer tráfego da maior parte do mundo - você pode encontrar listas de bloqueios de IP de 'bad block' conhecidos e banir todos esses bloqueios - você também pode fazer uma pesquisa de WHOIS no IP está vindo para você e retira todos os blocos de onde vem e começa a bloqueá-los dessa maneira.

Ou crie uma regra de firewall ou regra de .htaccess para permitir apenas o tráfego de locais conhecidos que usarão seu servidor apache.

Mas realmente ... se este é um servidor web que precisa ser acessível a todos, então você não será capaz de fazer muito para ser atingido muito, obter o LogRotate instalado, expandir um pouco as regras do Fail2Ban se você quiser e esquecer, você nunca vai parar o que está vendo inteiramente, a menos que o escopo do seu projeto permita que você especificamente permita que determinados IPs atinjam o seu servidor.

    
por 18.08.2017 / 19:47

Tags

O servidor DHCP está dizendo 'host desconhecido' antes de enviar o DHCPOFFER Como posso redirecionar URLs específicos terminados em .PHP para outro URL no Nginx?