Appropriata difesa per 404 nei miei registri - Scansioni web persistenti da una regione

Questo è abbastanza bene il rumore di fondo di Internet. Dal momento che phpMyAdmin ha una cronologia di sicurezza così scarsa non è raro vedere sistemi in cerca di istanze di esso in esecuzione sulla rete. Le probabilità sono, questo è esattamente ciò che sta accadendo. Ci sono alcune cose che potresti fare per intraprendere un'azione su tale attività, anche se quale o quali, sceglierai, dipenderanno selvaggiamente da come viene usato il tuo sito.

Blocca interamente
A seconda di chi ha bisogno di accedere al tuo sito web, puoi inserire le regole del firewall per consentire solo l'accesso da specifici indirizzi o intervalli di indirizzi. Ad esempio:

-A INPUT  -s 198.51.100.50-m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT  -s 203.0.113.0/24 -m tcp -p tcp --dport 80 -j ACCEPT

Questo consentirà specificamente l'indirizzo dall'host 198.51.100.50 e alla rete 203.0.113.0/24. Qui il vantaggio sta limitando il tuo ambito di accesso a un set relativamente piccolo, tuttavia è necessario conoscere ogni punto in cui è richiesto l'accesso.

Connessioni limite di frequenza
IPtables ha incorporato il supporto per la limitazione della velocità. Ad esempio, prendi queste regole del firewall:

-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --set --name WEB
-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name WEB -j DROP

Ciò che farà sarà limitare ogni indirizzo sorgente a sole 8 connessioni entro 60 secondi. Questi valori potrebbero richiedere dei tweaking, a seconda dell'ambiente, ma rallenteranno sicuramente qualsiasi tipo di forza bruta o scansione veloce.

Rilevamento dinamico e blocco
Esistono numerose applicazioni per farlo, ma sostanzialmente funzionano allo stesso modo:

1. Leggi i file di log specifici per eventi utilizzabili
2. Confronta gli eventi con qualche tipo di sistema di punteggio
3. Agisci se soddisfa i criteri

Uno dei più popolari (avviso di soggettività) è probabilmente un'applicazione chiamata fail2ban . Elabora una grande varietà di registri sul sistema, inclusi SSH e Apache, e genera blocchi per quegli indirizzi di origine che stanno commettendo un comportamento "sospetto". In genere questo sarebbe aggiungere una regola di caduta IP sorgente nel firewall host. Hai detto che stai usando Nginx come server web, quindi dovresti cercare se fail2ban o quale altro prodotto potrebbe funzionare per te.

Sì, quelli sono solo scansioni di script, alla ricerca di versioni vulnerabili di phpmyadmin e altri software da sfruttare.

Ci sono vari modi per combattere questi problemi.

Uno di questi è attraverso utility come fail2ban, che (tra le altre cose) possono monitorare i registri del server web e vietare gli IP sul firewall che corrispondono ai tuoi criteri.

Nel tuo caso specifico, guarda questo post (anche se devi convertirlo per nginx)

Puoi anche fare il contrario, e filtrare automaticamente gli IP cattivi che vengono visti in natura e classificati come bot, anche gli strumenti esistono per questo.

Beh, prima di tutto, sembra che verrebbero da paesi del blocco sovietico. Secondo, potrebbe essere uno scanner di exploit, ma se non hai il software cosa importa? Si consiglia di inserire nella white list gli indirizzi MAC + IP (dove statici) coinvolti nelle operazioni di rete. Quanto distanti erano le richieste, stiamo parlando di 20 richieste in una settimana o 4000 in un minuto? Potresti esaminare l'impostazione di un IDS per vedere almeno tutto ciò che ti viene in mente, oppure implementare ulteriormente un IPS e monitorare attivamente tali registri. Se la casella che viene sottoposta a scansione è fondamentale, suggerirei di estrarla offline per un po 'per eseguire analisi su di essa per vedere se qualcos'altro non vi appartiene.