曾经有用户试图入侵我的服务器,并且 muieblackcat 多次出现在我的服务器上。
我只是想获得一些关于如何最好地防止这种情况的建议,即我应该通过 htaccess 阻止用户还是应该通过 iptables 阻止他们,或者有没有更好的方法?
请注意,我正在运行的服务器是 Centos 5.7 64 位
答案1
通过 iptables 进行阻止比通过 htaccess 进行阻止更好。iptables 也不会让黑客使用任何其他端口。他将无法创建任何连接。htacces 稍后会发挥作用。如果仅使用 htaccess 进行阻止,黑客可以利用除 http 之外的任何其他端口/服务。
iptables -A INPUT -j DROP -p all -s 123.123.123.123
iptables -A INPUT -j DROP -p all -s 123.123.123.123
答案2
对于任何类型的服务器,您肯定需要分层安全方法。例如,保持系统完全修补,实施最少的访问控制等。如果您在日志中看到 muieblackcat 命中,则很可能只是扫描程序在扫描您的系统以寻找 php 漏洞(muieblackcat 是什么?)这些类型的扫描对于任何面向外部的 Web 服务器来说都非常常见。
至于阻止此 IP,我同意 Aditya 的观点,因为 iptables 会阻止来自该 IP 的所有流量,因此 iptables 比 htaccess 更好。您还可以研究一些其他工具,例如 fail2ban,它可以监视日志文件,然后在看到特定流量命中(例如密码尝试失败次数过多)时动态创建 iptable 阻止规则。
答案3
虽然您可以添加 iptables 规则来阻止该 IP 地址,但更好的解决方案是使用 fail2ban 添加 HTTP 规则。
答案4
如果“攻击”来自单个 IP,您可以通过黑洞路由放弃返回该 IP 的路径:
ip route add blackhole IP
这样他/她的请求就永远不会得到答复。