Блокировка «выскакивания» нашей системы
Мы получаем тонн из них каждый день в нашем журнале ошибок apache.
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpmyadmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpMyAdmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmd
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pma
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/mysql
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/admin
Есть способ:
- Запретить им регистрироваться?
- Заблокировать IP-адреса, которые это делают? Составить список их для блокировки?
Этот конкретный IP имел 54 различных «тычка». Они приходят с разных IP-адресов, поэтому я не знаю, что делать.
- Запретить им регистрироваться?
Это не кажется хорошей идеей: избавление от журналов никогда не улучшит безопасность :)
- Заблокировать IP-адреса, которые делают это? Составить список их, которые нужно заблокировать?
Это именно та задача, для которой был разработан fail2ban. По умолчанию он временно блокирует этот IP-адрес.
Возможно, вы ищете решение fail2ban.
Fail2ban сканирует файлы журналов (например, / var / log / apache / error_log) и блокирует IP-адреса, которые показывают вредоносные признаки - слишком много сбоев пароля, поиск эксплойтов и т. д. Обычно затем Fail2Ban используется для обновления правил брандмауэра, чтобы отклонять IP-адреса в течение определенного периода времени, хотя любое другое действие (например, отправка электронной почты) также может быть настроено.