Como eu bloqueio o acesso ao servidor web de um determinado IP?

Navegue suas respostas
1

Estou executando o Apache na minha máquina Windows local e tenho tido problemas com o que parece ser uma tentativa de invasão. As requisições por alguma razão parecem realmente tornar minha internet muito lenta [retorna ao normal quando eu desligo o servidor web]. Os registros de acesso são um pouco parecidos com isto: 

109.230.216.22 - - [15/May/2011:11:31:03 -0500] "GET /webdav/sip2.php?&IP=82.5.233 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)"
109.230.216.22 - - [15/May/2011:11:31:06 -0500] "GET /webdav/sip2.php?&IP=82.5.15 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)"
109.230.216.22 - - [15/May/2011:11:31:07 -0500] "GET /webdav/sip2.php?&IP=82.6.89 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)"
109.230.216.22 - - [15/May/2011:11:31:07 -0500] "GET /webdav/sip2.php?&IP=82.6.198 HTTP/1.1" 200 15 "-" "Opera/9.21 (Windows NT 5.1; U; en)"

Isso vem acontecendo há semanas. Eu digitei o IP ofensivo no firewall da janela para uma boa medida, mas principalmente estava tentando confiar no seguinte no meu arquivo httpd.conf: 

<Directory "C:/xampp/htdocs">

    Options Indexes FollowSymLinks Includes ExecCGI
    AllowOverride All

    Order deny,allow
    Deny from all
    Allow from MY.IP.ADDRESS.HERE

</Directory>

Eu fiz um teste rápido do SSHing para um servidor remoto e tentei acessar uma página via wget - e obtive uma resposta 403 como esperado. A solicitação apareceu em access.log também como 403, como esperado.

A parte inesperada são as solicitações de 109.230.216.22 continue, sem interrupção e estão retornando um código de status de 200.

Como faço para bloquear isso?

    
por Erik 15.05.2011 / 18:41

2 respostas

1

Suponho que você esteja usando um dispositivo na borda da sua rede para encaminhar a porta 80 para a caixa do Windows. Crie uma regra de firewall nesse dispositivo e bloqueie-a lá, a configuração do Apache não é um bom lugar para parar os ataques do DOS.

Se tiver certeza de que essa é uma tentativa de hack, também encaminharei uma reclamação ao departamento de abuso do seu provedor.

    
por 15.05.2011 / 18:57
0

A regra de firewall pode não ser eficaz contra uma sessão existente. Embora você tenha adicionado a regra ao seu firewall, a conexão existente do invasor ainda pode ter sido afetada, já que foi estabelecida antes da regra. Quebrar a conexão depois de colocar a regra em efeito interromperia a situação de ataque.

Para interromper a conexão, basta interromper e reiniciar o serviço da Web.

    
por 16.05.2011 / 01:34

Tags

É possível enumerar o que foi implantado na web em um servidor IIS? Que expressão regular posso usar para identificar solicitações inválidas de arquivos em logs nginx?