我是否應該使用我的 Web 伺服器防火牆來阻止來自似乎正在嘗試攻擊的 IP 地址的所有流量？

我最近建立了一個小型 Debian VPS 來託管幾個個人網站。

在 Apache 訪問日誌中，我注意到很多對 URL 的請求，例如/phpMyAdmin-2.6.4/scripts/setup.php來自一個特定的 IP 地址。有問題的 IP 地址列在Project Honeypot上。他們最近沒有註意到任何可疑的活動，但我今天早上收到了這些請求。

我沒有執行 IP 地址似乎正在尋找的任何服務，但我想知道是否應該使用伺服器上的防火牆阻止來自該 IP 地址的所有請求。我認為它至少會清除我的訪問日誌，如果它是一個 IP 地址，在最壞的情況下，如果將來用於合法目的，我不會阻止許多使用者訪問該站點。

在我關於阻止登錄失敗的 IP 地址的問題中，對 fail2ban 等的優點進行了很好的討論。

有一些工具建議可以阻止這些攻擊，包括fail2ban，但我得到的主要是這些工具除了清除日誌之外沒有更多的作用——你仍然需要保護你的伺服器免受攻擊，因為成功的攻擊可能來自任何地方，不一定會觸發fail2ban。

我更喜歡對頑固的罪犯這樣做。您還可以安裝portsentry以偵聽未使用的埠並自動永久/臨時阻止違規者。

首先在桌面上嘗試它，它非常簡單，您可以圍繞它編寫腳本。

這不會阻止 PHP 探測，但無論如何您都應該檢查日誌（使用 logwatch 之類的東西）以查找這些攻擊，然後可以禁止持續攻擊者。

–edit–

Fail2ban 可以與 PHP ‘probes’ 一起使用：Fail2Ban PHP probes

–edit2–

PHPMyAdmin 探測 Fail2ban

–edit3–

抱歉所有的編輯，但我可能會推出這個！非常簡單但有效地阻止 404：Fail2ban 404s

引用自：https://serverfault.com/questions/259216