Alcuni bot continuano a postare questo sul mio server

Question

Alcuni bot continuano a postare questo sul mio server

#1 da (1 voti)

0

Alcuni bot continuano a pubblicare stringhe come questa sul mio server. Che cosa significano e qual è il modo migliore per prevenirli?

RaxfkI/IZARdmslPRT3qzmMmaAmJOQ1i3lJWx9f4jJBQ0fVChoXCF3hlRjvticMkgEQxR7RKxb8uWfcbQa9jRqW8JFfOAykAsg7Nkf6MdScjE0bgyo0757jvOKqamcMA/xicZs_/S26J7PFUu2H/TMrJxwhAoAyvoFYavKcqWRccoZKCKAStUxJ6V8nqaXfIc6PL9dVRxWqSPyEUL7Y212kGO9fET70YOJj0lw/hkHUuRzRBSn/LXRE8RJVSGW5HmsLVbrG9Rp_I/omjALqCtBMZ/spkWrRYRK2uOotRCNLNVdQz23ioYLUB3TIpZc6wCwz6HpZe7hhOzlikAZW22acDDAOicP7/i9jaHvvC5ine85J1D7QAd3Nuz6/ZsaQN4koSktdDoK8evUIvHCTpcCxnI/SaH6fmIhtuRaDsEK4K
EaMIk9rLYLRC5UGCKDcSS2GcXmsKekjiO3OPn79AZ/g67w6ensoQufXWcCJaKFq_GEe7/k3qPwbWDyWd1wY/lgptLoFqn_7EE6vUg0WRX/e9DX3vvlZHB2_kkPDGPw2cIL2c8fbEScsQcePT1gNzcCwATzFUgK7SHN2rv01C6jW2qiLzoVPB53Fb9Go9HfAAKmgOj4NYhKSnK7eQW5_M5q9q_EjqO62pj7ohVofKlog7lvQ0h80uwtYjA0DDPbbkBFWFbik5ZULv_KgVhwnx9IUPVRyzXAi2W5KWExWH8u_Lm2wOaNJZHvXagCPIMO4ThHNfpT_5v9mtUfBQR14D1VRnbVHOIg
Rq1ckN7PZJp1PEjQqFJJjzDLdlC666M1FPfhEGF6cqUER4lAw8aIkJKSUc4VgU1lzfx32AyKmQbbjbrmJCEpAVjfhyunmVj7Adh/uK4WEuiwLiQlNs0qWqjtEAJg4b7sAAuODrzS48FtO975UIUlsT85Wj9uzknsqH9M1k0WrCgg7ngkAlcJmlKryDzMtxdQ8RJR75wU77ADuD8tB1Op1Yby2V/Cb4fgH3KQTmU_qSXUNgH5BHXCY_MRSCwbGQVvzsgGwqbcjboZmtACFc850IgPg1Yx9yuLxJfsciGRTUy8B/6QSZjfRGC0ujFOMJ6OUVE2f/owbx6GJKp_ULiIPE42rFEdA6Y5jtoCLMxhT_qzYUaUOcv9WmMwYMkpC9oWHe8SYieEYQ

Ho ricevuto più di 2400 richieste come questa. Sono tutti pubblicati sull'IP del mio server, non sul nome del dominio.

Il mio server continua a lanciare un MethodNotAllowedHttpException che viene catturato dal mio gestore di errori, che è il modo in cui so che questo continua a succedere. Non penso che stia causando alcun danno, ma se stanno mangiando le mie risorse del server, vorrei impedirlo.

php nginx web-application attacks bot

posta mpen 28.10.2017 - 21:45

fonte

1 risposta

Leggi altre domande sui tag php nginx web-application attacks bot

Come utilizzare Wireshark per acquisire dati HTTP per un dispositivo sulla stessa rete di me Accesso locale di Fritzbox non sicuro?

score 1 · Answer 1

Un modo possibile per impedire upload e attacchi come hai descritto e molti altri è installare apache mod_security con OWASP ModSecurity CRS regole.

Possono anche essere applicati a ngnix e molto probabilmente ti proteggeranno da:

SQL Injection (SQLi)
Cross Site Scripting (XSS)
Inclusione file locale (LFI)
Inclusione file remota (RFI)
Esecuzione di codice remoto (RCE)
PHP Codice di iniezione
Violazioni del protocollo HTTP
Correzione sessione shellshock
Rilevamento dello scanner
Metadata / perdite di errori
Blacklist del progetto Honey Pot
Blocco paese GeoIP

Se i server non sono in esecuzione su apache, puoi comunque avere server come proxy inverso e proteggere la tua applicazione web.

Una volta che mod_security è stato abilitato e configurato, puoi andare oltre e installare e configurare fail2ban per vietare agli IP di tentare di hackerarti in questo modo:

Installa fail2ban come per il tuo sistema (yum install o apt install fail2ban...)
Crea /etc/fail2ban/filter.d/modsec.conf

Inserisci quanto segue in quel file:

# Fail2Ban configuration file
#
# Author: Florian Roth

[Definition]
failregex = \[.*?\]\s[\w-]*\s<HOST>\s
ignoreregex =

Quindi inserisci questo in /etc/fail2ban/jail.conf

 #
 # HTTP servers
 #

 [modsec]
 enabled  = true 
 filter   = modsec
 action   = iptables-multiport[name=ModSec, port="http,https"]
 sendmail-buffered[name=ModSec, lines=5, [email protected]]
 logpath  = /var/log/apache2/modsec_audit.log
 bantime  = 172800
 maxretry = 3

 [apache]
 enabled  = true
 port        = http,https
 filter   = apache-auth
 logpath  = /var/log/apache*/*error.log
 maxretry = 6

Quindi assicurati di riavviare fail2ban e apache.

Un altro modo è acquistare un dispositivo preconfigurato come sophos UTM con il firewall dell'applicazione Web, è un buon modo se si possiede il data center con i server, perché UTM scaricherà i server Web da tale attività (in realtà, in realtà è in esecuzione anche la sicurezza delle mod, oltre ad alcune funzionalità aggiuntive come l'ispezione dei pacchetti, l'antivirus ...)