Tenho notado muitos hackers tentando penetrar em meu sistema fazendo solicitações para determinados caminhos em meu servidor web que não resolvem nada.
Exemplos: /config/pwtoken_get, /_vti_bin/_vti_aut/author.dll, /xampp/phpmyadmin/index.php, /admin/index.php etc.
O que eu gostaria de fazer é colocar automaticamente um ip na lista negra depois que ele tentar solicitar esse caminho. Alguém tem alguma dica sobre como eu conseguiria isso?
Obrigado!
Responder1
Você terá que ajustar a configuração de acordo com suas necessidades, mas se estiver executando o Linuxfail2bandeve resolver o problema - você precisa configurá-lo paraobserve seu arquivo de log do apache, ajuste as expressões regulares para se adequarem à classe específica de estranheza e configure-as para bloquear após algumas tentativas. Não usei com o Apache, mas funciona maravilhosamente bem em outras situações.
Responder2
Você deve ser capaz de fazer isso comfail2bane uma regra como esta:
failregex = [[]client (?P<host>\S*)[]] File does not exist: .*/(pwtoken_get|author\.dll|.*admin/index\.php)