Bloqueio de endereços IP de tentativas óbvias de hack

Question 1

Embora você esteja claramente pedindo uma solução para bloquear endereços IP, não acho que seja uma boa solução.

A razão é que essas tentativas que você vê vêm de vários endereços IP, provavelmente controlados por um sistema mestre. Essa é simplesmente a natureza de como ocorrem as tentativas de DDoS e hackers hoje em dia.

Em vez disso, você deve considerar a implementaçãoModSegurança. É um módulo Apache que atua como um firewall de nível de serviço web. Ele analisa todo o tráfego da web que chega ao seu site e, se detectar comportamento aberrante conhecido, o acesso é bloqueado por uma resposta "403: Proibido".

Agora, o lado ligeiramente negativo é que o MidSecurity tem dezenas de conjuntos de regras padrão que funcionam bem, mas podem causar falsos positivos. Portanto, ao implementá-lo, você provavelmente precisará ajustá-lo nas primeiras semanas.

Mas o resultado líquido é que após esse período de “conhecer você”, você terá uma ferramenta que protege heuristicamente seu site de mau comportamento conhecido. E não apenas mantenha uma lista de endereços IP.

Answer

Embora você esteja claramente pedindo uma solução para bloquear endereços IP, não acho que seja uma boa solução.

A razão é que essas tentativas que você vê vêm de vários endereços IP, provavelmente controlados por um sistema mestre. Essa é simplesmente a natureza de como ocorrem as tentativas de DDoS e hackers hoje em dia.

Em vez disso, você deve considerar a implementaçãoModSegurança. É um módulo Apache que atua como um firewall de nível de serviço web. Ele analisa todo o tráfego da web que chega ao seu site e, se detectar comportamento aberrante conhecido, o acesso é bloqueado por uma resposta "403: Proibido".

Agora, o lado ligeiramente negativo é que o MidSecurity tem dezenas de conjuntos de regras padrão que funcionam bem, mas podem causar falsos positivos. Portanto, ao implementá-lo, você provavelmente precisará ajustá-lo nas primeiras semanas.

Mas o resultado líquido é que após esse período de “conhecer você”, você terá uma ferramenta que protege heuristicamente seu site de mau comportamento conhecido. E não apenas mantenha uma lista de endereços IP.

Question 2

Eu não recomendaria tentar fazer isso automaticamente, recomendaria bloquear manualmente o IP. O único sistema automatizado que eu faria seria um script ou algo semelhante que analisasse seus logs em busca de erros semelhantes.

Para bloquear um IP com ufw
sudo ufw deny from <ip address>

com iptables
sudo iptables -I INPUT -s <ip address> -j DROP

Answer

Eu não recomendaria tentar fazer isso automaticamente, recomendaria bloquear manualmente o IP. O único sistema automatizado que eu faria seria um script ou algo semelhante que analisasse seus logs em busca de erros semelhantes.

Para bloquear um IP com ufw
sudo ufw deny from <ip address>

com iptables
sudo iptables -I INPUT -s <ip address> -j DROP

Question 3

A solução que funciona para mim é fail2ban conforme observado no comentário de @ceejayoz

@iain - Na verdade, é duplicado - obrigado por apontar isso.

Answer

A solução que funciona para mim é fail2ban conforme observado no comentário de @ceejayoz

@iain - Na verdade, é duplicado - obrigado por apontar isso.

Bloqueio de endereços IP de tentativas óbvias de hack

Responder1

Responder2

Responder3

informação relacionada