我们的日志中出现了一个中国 IP 地址,用于访问我们的一项调查,但它之所以引人注目,是因为用户试图在调查的 URL 末尾添加一个字符串(就像试图执行 SQL 注入攻击一样)。
由于对 IP 地址的 whois 查询来自中国,因此封锁整个 IP 范围似乎很实用。我们确实有一个香港客户,但他们的调查针对的是新加坡、澳大利亚和美国的商业用户,而不是中国本身。
是封锁 IP 地址好还是保持开放好?
答案1
这又取决于情况。
如果你封锁了IP,那么更改IP并不难。
如果你封锁了该范围,你就会受到很多无法进入但无辜的人的附带损害。这并不能阻止很多人继续封锁国家/地区的 IP 范围。
如果您有一定数量的客户端可以访问相关站点...这是一个半私有数据库,仅供订阅者使用,等等...您可以只阻止除接受白名单之外的所有人访问该部分站点。
否则,您将需要保持更新、更新、更新,并定期让外部承包商审核您的代码是否存在注入攻击和其他危害,并且可能在服务器上安装类似 Tripwire 的东西来监视服务器上的可疑更改和改动(并保持良好的离线备份。很多网站都有“实时”备份,一旦进入网络,备份就会突然被黑客入侵或删除)。
根据我的经验,屏蔽特定网站和黑客攻击行为很麻烦,而且不一定能解决问题。如果是反复攻击,您可以考虑一种解决方案,它可以发现您的网站受到有问题的攻击,并自动屏蔽一段时间(有点像 SSH 的拒绝主机),因此这是一种暂时的、“已经足够”的屏蔽,不会永远扰乱您的系统。脚本攻击很容易在一天从左侧发起,第二天又出现在右侧,您最终会陷入原地打转,试图阻止这些白痴。
确保您的服务器与 LAN 隔离,并进行分段,以防止该系统上的黑客感染网络的其余部分。对其进行审计。查看日志以查找可疑活动。仅阻止真的路由器上存在问题的 IP(如拒绝服务攻击)。否则...我认为,除非您有某种自动方式来跟踪它并在一段时间后自动将其删除,否则阻止它们会很麻烦。
答案2
如果它出现不想成为机器人,你可以利用这一点。你可以设置另一台带有虚拟数据的服务器,根据源 IP 重定向到该服务器,然后观察他们如何破解它。公司会为渗透测试付费,正如 Bart 所说的“代码审计”。因此,如果黑客设法通过,你可以将其提交给开发人员,这样你就从黑客那里得到了免费的工作 :-)
我自己从来没有这样做过,但如果你有时间/资源,可能会很有趣......
答案3
我不会手动阻止 IP。但是,我可能会设置一个 fail2ban 脚本,根据 apache 日志以编程方式在短时间内阻止用户的 IP(我假设您使用的是 Linux。替换您的操作系统和所选脚本)。这是不是完美的安全。它只会让坏人的日子稍微难过一点,而你自己却要付出一点代价。
答案4
我认为定期审核日志是一种很好的做法。有些人甚至不这样做。
我同意这里的所有建议。封锁 IP 可能不会有什么坏处,但你真的不能封锁某些机器人试图连接的每个 IP……我试过了。我想如果它不是机器人,那就封锁它。也许它会发送一条消息。你真的不能确定另一端有什么资源。
我想说的是要仔细查看你的日志(显然如此)。确保你的机器已更新。此外,确保你有一个备份,以防发生可怕的事情。