我们注意到我们的服务器正在被扫描以查找标准漏洞,例如公开暴露的 myphpadmin 和其他常见的安全配置错误/故障。将此类攻击者重定向到的最佳位置是什么?我脑海中浮现出以下选项:
- 攻击者自己的 urlhttp://127.0.0.1/
- 带有广播 IP 的 URL,例如http://255.255.255.255/
除了重定向攻击者之外还能做什么?
答案1
返回 404 并继续。
可选地,惩罚那些不接受暗示的机器人。也许可以使用 fail2ban 风格的防火墙规则来断开连接。
可选地,将此类事件集中记录在 SIEM 等系统中。失败的尝试只是噪音,而不是可操作的信息,因此不要将其视为威胁。