阻止对我们系统的“攻击”

阻止对我们系统的“攻击”

我们得到我们的 Apache 错误日志中每天都会出现这些内容。

[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpmyadmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpMyAdmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmd
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pma
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/mysql
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/admin

有没有办法:

  1. 阻止这些记录吗?
  2. 屏蔽那些这样做的 IP 地址?建立一个列表来屏蔽它们?

这个特定的 IP 有 54 个不同的“pokes”。它们来自不同的 IP 地址,所以我不知道该怎么做。

答案1

  1. 阻止这些记录吗?

这似乎不是一个好主意:摆脱日志永远不会提高安全性:)

  1. 屏蔽那些这样做的 IP 地址?建立一个列表来屏蔽它们?

这正是 fail2ban 的设计目的。默认情况下,它会暂时阻止此 IP。

也许您正在寻找的解决方案是fail2ban。

Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意迹象的 IP(密码错误次数过多、寻求漏洞等)。通常,Fail2Ban 用于更新防火墙规则,以在指定的时间内拒绝 IP 地址,但也可以配置任何其他操作(例如发送电子邮件)。

来源 :https://www.fail2ban.org/wiki/index.php/Main_Page

相关内容