acessos de arquivos aleatórios ao ip do servidor

0
[Sat Jun 22 13:07:06 2013] [error] [client 208.80.194.26] File does not exist: /[removed]/2370604C4AB20069B35E9844BE72140307F553D33124FF9D0C91F136B307F81C1A998310533A1A8526DF06BBE8D5FEB5A0375FE33BFFDE5B237E4C8B95606331082E5E60D709B5DD318F4BDE3374

Estou vendo solicitações de arquivos como essa de vez em quando no log do Apache, sempre com nomes de arquivos aleatórios, e noto a estranha tentativa de hackeamento bloqueada pela minha segurança. Devo bloquear apenas os IPs ou há uma maneira automatizada mais fácil? Cronjob de algum tipo, talvez? Ou há algo mais que eu deveria estar fazendo? Não consigo encontrar nada sobre isso através do Google.

    
por Tyson Bedwell 22.06.2013 / 14:20

1 resposta

3

A realidade é que esses "ataques" são, na maioria das vezes, apenas robôs que rastreiam a Web em busca de uma página específica ou de links a seguir. Se você tiver um arquivo "robots.txt" e esperar que isso pare, não será. Se você está tentando reduzir o consumo no tráfego, eu tenho algumas sugestões abaixo. Se você só quer que seu site seja acessado em seu país, use iptables e bloqueie todas as solicitações, exceto os endereços IPv4 alocados em seu país. Encontre o registrador do seu país aqui .

Se você quiser proteger seu servidor, há algumas coisas que você pode fazer. Primeiro é usar fail2ban . Configure-o para que, em certos ataques, ele bloqueie automaticamente o ip. Você também deve usar o ModSecurity para o httpd do Apache. Se você tiver o poder no sistema, sugiro um IDS; Eu recomendo Suricata .

Você pode usar um cronjob para pegar a lista negra mais recente do provedor de sua escolha e criar regras de iptable para elas ... mas isso diminuirá um pouco sua conexão quando você tiver MUITAS regras. (FYI, se você usar um IDS, ele vai cuidar das listas negras para você e será mais rápido).

    
por 22.06.2013 / 14:48