Как распознать что сайт пытаются взломать?

Имеется вот такой вот лог:
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?site=member}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?action=getBasicInfo&terminal_id=2&token=&debug=true}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1&position=index&_=1601489645097}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?id=500}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] POST: {"languageType":"3","appId":"","appKey":""}
123.58.220.220 [ Java/Android unknown unknown ] POST: {"os":"android","v":"1.2.2"}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?gid=651}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?v=4}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?keys=of_we}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?key=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?mobile_system=2}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=19}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?service=Home.getConfig}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?agent=1000}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?mod=do&act=login}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?t=0.3782499195965951}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?m=api&c=app&a=getPlatformConfig}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=002405}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?v=1543997196}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?v=1545408652}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?configKey=level_config}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?mobile_open=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?action=getBasicInfo&terminal_id=2&token=&debug=true}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?site=member}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1&position=index&_=1601489645097}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=14&position=index&_=1601489645097}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?officeCode=customHomeLink}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?callback=jQuery183016740860980352856_1604309800583}


Здесь явно видно что сайт пробивали на уязвимость и на "возможные" страницы настроек. Есть ли какой нибудь скрипт который может выявлять подобные запросы и на какое то время блокировать IP взломщика?
  • Вопрос задан
  • 223 просмотра
Пригласить эксперта
Ответы на вопрос 4
ThunderCat
@ThunderCat Куратор тега PHP
{PHP, MySql, HTML, JS, CSS} developer
Так это классическая работа для fail2ban. Настраиваете на повторяющиеся 404 и спите спокойно...
Ответ написан
Комментировать
ipatiev
@ipatiev Куратор тега PHP
Потомок старинного рода Ипатьевых-Колотитьевых
На стороне РНР это делать бессмысленно. Поскольку "блокировки" на уровне приложения не снизят нагрузку на сайт.
Поэтому обычно никто не парится, если только это не начинает сказываться на производительности. Но в этом случае блокируют на подходах.
В целом, такое "распознавание" - вещь довольно бессмысленная, а зачастую и вредная.
Ответ написан
Комментировать
@As56
Если сайт на CMS, то для многих из них есть модули безопасности, которые детектят такие случаи и блокируют по ip в случае превышения лимита запросов
Ответ написан
Комментировать
dimonchik2013
@dimonchik2013
non progredi est regredi
бан Китая и прочей Азии решает 80% таких проблем
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы