我收到了活动日志通知,例如用户尝试访问/js/cache/'+opts.iframeSrc+'以及其他可疑的失败的 Javascript 和 MYSQL 注入。但是这些似乎来自每天变化的 IP 地址。(可能是代理或只是不同的连接。)
我该如何处理这个问题?有没有办法可以将它们添加到 Apache 上的 IP 黑名单中 24 小时,或者其他什么?IP 地址一直在变化,所以我不想拥有一个可能属于潜在访问者的大量 IP 列表。
答案1
看一眼Fail2ban并设置bantime = 86400(24小时)。
如果你使用 iptables,你可以使用以下命令取消禁止 IP:
iptables -D fail2ban-apache -s IP -j DROP
答案2
mod_security是一种不同的方法,可用于阻止访问。这是一种完全不同的方法,因为它将从 Apache 应用,但它将保护您免受未知和意外的攻击。
答案3
您可以随时安装http://www.ossec.net/您将获得各种“反黑客”保护机制,即使在默认配置下也是如此!它会暂时禁止 IP,您可以为多种服务添加额外的配置。
答案4
如果您想要一些简单的东西;看看 fail2ban 或 sshguard。
sshguard 可以说更好,因为它不使用 python,而且名字有点用词不当;它的功能远不止保护 ssh。-http://www.sshguard.net/