Ho IP che tenta di sondare il nostro server web cercando di trovare URL aperti. I due metodi noti stanno tentando di trovare nodi specifici sul nostro sito drupal o tentare il trucco ../../../../ per provare e accedere alla root del server web.
Entrambi i trucchi non fanno nulla contro di noi, ma LogWatch a volte ritorna che il sondaggio potrebbe aver avuto successo restituendo una richiesta HTTP 200.
C'è qualche misura che dovrei prendere per contrastare questo?
La semplice risposta è che se qualcuno sta facendo sondaggi ovvi, rilasciali. phpMyAdmin, ad esempio, è una spia che non viene mai richiesta in modo legittimo a meno che non l'abbia installata per uso personale. Suggerisco una risposta "drop all packets" di 15 minuti o ICMP irraggiungibile dalla risposta dell'amministratore, se ti senti particolarmente prolisso. Puoi attivarlo con regole di riscrittura di Apache, moduli di sicurezza, fail2ban e registri regolari o un sistema di firewall dell'applicazione.
Personalmente uso il tipo 3, il codice 13 per i malintenzionati client NTP (solo l'applicazione, non per l'intero host), 9 per ucciderli in rete e 10 se il sistema in questione ha solo 1 IP. Non molte persone prestano attenzione a quelle, ma le considero le mie bandiere "Bad Internet Citizen".
La maggior parte delle cose che vedi nei tuoi registri è dove la sicurezza sta funzionando come pianificato, ma c'è un motivo per guardare l'IPS.
I PHPids sono dotati di regole per rilevare molti attacchi, ma non cambiano in modo proattivo il comportamento del sistema per la protezione. OTOH fail2ban blocca proattivamente gli attacchi rilevati, ma non viene preconfigurato con test per rilevare attacchi contro siti PHP. Non ci vorrebbe molto lavoro per guidare fail2ban da phpids.
Leggi altre domande sui tag webserver attack-prevention