La soluzione migliore è installare un firewall per applicazioni web come mod_security e applicare le regole per stroncarlo nel calcio. Applica Duo Security , per non consentire comandi sudo non convalidati da un account compromesso.
fr00yl00p says:
- Configure the system to alert you upon logins (e.g. per mail in sshrc and bashrc)
Questo diventa troppo macchinoso e complesso se si hanno sistemi che eseguono manutenzione, e, g, SNMPv3, qualsiasi tipo di account rsync, ecc. Un meccanismo migliore sarebbe un alias dell'ultimo comando scritto sul terminale ogni volta che si accede. Duo si fermerà molto, quindi dai un'occhiata.
fr00yl00p says:
Let your firewall drop connections with obvious attack patterns. (e.g. http://spamcleaner.org/en/misc/w00tw00t.html)
Questo non è un meccanismo fattibile e dovresti creare una whitelist in parallelo. Considera il fatto che io possa falsificare le connessioni fingendo di essere chiunque. Immagina di generare abbastanza messaggi di spoofing per simulare un CIDR / 16, / 8 o anche / 2.
fr00yl00p says:
Install PHPIDS (https://phpids.org/)
A meno che tu non voglia diventare un analista della risposta agli incidenti, perderai così tanto tempo a caccia di falsi positivi, finirai per ignorare gli avvisi di IDS 'e IPS' Anche le persone DFIR ben addestrate trascorrono ore e ore alla volta costantemente modificante. Per non parlare di qualcuno che non è abituato a usare un IDS, né a interpretarne l'output.
Come per altri consigli, non è necessario bloccare interi intervalli per un server web se si configura un WAF correttamente. Su uno dei miei siti, MI GUADAGNA SEMPRE a mantenere in esecuzione Joomla 1.5 e non mi preoccupo dei compromessi poiché il mio WAF è scritto per consentire solo un POST dal mio indirizzo statico. La sua semplicità al suo meglio. Il mio sito web è progettato SOLO per consentire ai GET di non pubblicare i POST quindi non è necessario eseguire il bezerk sulle regole.
Devi anche essere consapevole, che gran parte del traffico è generato da macchine infette, quindi non stai fermando o bloccando un utente malintenzionato, stai bloccando una macchina infetta. Quindi non andrei fino a bloccare interi blocchi IP in una pagina web. Server di posta, server ssh sicuro. Infatti, dovresti avere un predefinito " BLOCK ALL " sul tuo server web, consentendo SOLAMENTE il tuo indirizzo a servizi come SSH. Tuttavia, i design / esigenze di tutti sono diversi