我最近设置了一个小型 Debian VPS 来托管几个个人网站。
在 Apache 访问日志中,我注意到很多 URL 请求都/phpMyAdmin-2.6.4/scripts/setup.php
来自一个特定的 IP 地址。有问题的 IP 地址列在蜜罐计划。他们最近没有注意到有任何可疑活动,但我今天早上收到了这些请求。
我没有运行该 IP 地址似乎正在寻找的任何服务,但我想知道我是否应该使用服务器上的防火墙阻止来自此 IP 地址的所有请求。我认为这至少会清除我的访问日志,如果它是一个 IP 地址,在最坏的情况下,如果将来将其用于合法目的,我不会阻止许多用户访问该网站。
答案1
有一些关于阻止这些攻击的工具的建议,包括 fail2ban,但我得到的主要印象是这些工具除了清除日志之外并没有其他作用 - 你仍然需要保护你的服务器免受攻击,因为成功的攻击可能来自任何地方,并且不一定会触发 fail2ban。
答案2
我更愿意对付那些惯犯。你也可以安装portsentry
监听未使用的端口,并自动永久/暂时阻止违规者。
首先在桌面上尝试一下,它非常简单,您可以围绕它编写脚本。
这不会停止 PHP 探测,但无论如何你都应该检查日志(使用类似 logwatch 的工具)以查找这些攻击,然后可以禁止持续的违规者。
--编辑--
Fail2ban 可以与 PHP“探测器”一起使用:Fail2Ban PHP 探测器
--编辑2--
PHPMyAdmin 探测 Fail2ban
--edit3--
抱歉,我做了这么多修改,但这个我可能会推出!非常简单,但可以有效地阻止 404:Fail2ban 404 错误