我们得到吨我们的 Apache 错误日志中每天都会出现这些内容。
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpmyadmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/phpMyAdmin
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmd
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pma
[Wed Oct 17 03:27:37 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/PMA2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/pmamy2
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/mysql
[Wed Oct 17 03:27:38 2018] [error] [client 103.41.124.159] File does not exist: /var/www/html/admin
有没有办法:
- 阻止这些记录吗?
- 屏蔽那些这样做的 IP 地址?建立一个列表来屏蔽它们?
这个特定的 IP 有 54 个不同的“pokes”。它们来自不同的 IP 地址,所以我不知道该怎么做。
答案1
- 阻止这些记录吗?
这似乎不是一个好主意:摆脱日志永远不会提高安全性:)
- 屏蔽那些这样做的 IP 地址?建立一个列表来屏蔽它们?
这正是 fail2ban 的设计目的。默认情况下,它会暂时阻止此 IP。
也许您正在寻找的解决方案是fail2ban。
Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意迹象的 IP(密码错误次数过多、寻求漏洞等)。通常,Fail2Ban 用于更新防火墙规则,以在指定的时间内拒绝 IP 地址,但也可以配置任何其他操作(例如发送电子邮件)。