Security
我是否應該使用我的 Web 伺服器防火牆來阻止來自似乎正在嘗試攻擊的 IP 地址的所有流量?
我最近建立了一個小型 Debian VPS 來託管幾個個人網站。
在 Apache 訪問日誌中,我注意到很多對 URL 的請求,例如
/phpMyAdmin-2.6.4/scripts/setup.php
來自一個特定的 IP 地址。有問題的 IP 地址列在Project Honeypot上。他們最近沒有註意到任何可疑的活動,但我今天早上收到了這些請求。我沒有執行 IP 地址似乎正在尋找的任何服務,但我想知道是否應該使用伺服器上的防火牆阻止來自該 IP 地址的所有請求。我認為它至少會清除我的訪問日誌,如果它是一個 IP 地址,在最壞的情況下,如果將來用於合法目的,我不會阻止許多使用者訪問該站點。
在我關於阻止登錄失敗的 IP 地址的問題中,對 fail2ban 等的優點進行了很好的討論。
有一些工具建議可以阻止這些攻擊,包括fail2ban,但我得到的主要是這些工具除了清除日誌之外沒有更多的作用——你仍然需要保護你的伺服器免受攻擊,因為成功的攻擊可能來自任何地方,不一定會觸發fail2ban。
我更喜歡對頑固的罪犯這樣做。您還可以安裝
portsentry
以偵聽未使用的埠並自動永久/臨時阻止違規者。首先在桌面上嘗試它,它非常簡單,您可以圍繞它編寫腳本。
這不會阻止 PHP 探測,但無論如何您都應該檢查日誌(使用 logwatch 之類的東西)以查找這些攻擊,然後可以禁止持續攻擊者。
–edit–
Fail2ban 可以與 PHP ‘probes’ 一起使用:Fail2Ban PHP probes
–edit2–
–edit3–
抱歉所有的編輯,但我可能會推出這個!非常簡單但有效地阻止 404:Fail2ban 404s