我有一个运行着大约 100 个网站的虚拟机,我运行 logwatch、blockhosts 和 mod_evasive,我对这三者之间每天发生的事情非常清楚……不过,我确实收到了很多这样的请求:
/cgi-bin/commerce.cgi?search=/../../../../../../../../../../etc/passwd%00&category=A001 HTTP Response 302
/cgi-bin/commerce.cgi?register=../../../../../../../../../../proc/self/environ HTTP Response 302
/cgi-bin/commerce.cgi?display=/etc/passwd HTTP Response 302
/cgi-bin/commerce.cgi?display=../../../../../../../../../../proc/self/environ HTTP Response 302
/cgi-bin/commerce.cgi?search=/../../../../../../../../../../proc/self/environ%00&category=A001 HTTP Response 302
没什么大不了的 - 这些从来没有去任何地方,虽然,我想要一个简单易行的方法将请求 IP 添加到 hosts.allow 中的阻止列表中...
假设任何包含 /etc/passwd 或 /proc/self/ 的请求
有什么想法吗?
答案1
你想要 mod_security (http://www.modsecurity.org/);有预先写好的规则集来捕获目录遍历攻击(以及数百种其他攻击),以及简单的响应工具。例如:
- 减慢他们的连接速度
- 将 500 返回到其 ip/子网,持续 x 秒/x 分钟或永久
- 在系统层面上做一些事情
- 高空原子轰击
答案2
您可以使用失败禁止监视日志并自动将违规 IP 添加到防火墙的阻止列表中。此外,它还可以在一定时间后解除阻止(如果是僵尸网络 PC 或动态 IP)。
答案3
Fail2Ban 可以做到这一点,但它值得吗?回答我的问题是关于阻止使用 SSH 登录进行暴力攻击的 IP这表明不值得付出努力,这里的情况可能也一样。