Attacco proveniente da più IP

0

Ho un attacco che arriva ripetutamente su un percorso specifico - ogni 10 minuti circa, lo stesso indirizzo esatto viene pingato.

Lo so perché continuo a ricevere un messaggio di errore nei miei registri di Drupal su un tentativo di accedere a una pagina che non esiste.

siti / default / files / cache.php

Come faccio a vietare le connessioni tentate a questo indirizzo? Ho abilitato IPtables, ho vari moduli Drupal impostati per segnalare e vietare il traffico inusuale (ma per qualche motivo questo attraversa), e il file non esiste nemmeno.

    
posta Andy Alexander 20.03.2015 - 13:58
fonte

1 risposta

1

Se vuoi solo bloccare un IP specifico:

iptables -A INPUT -s 1.2.3.4 -j DROP

Non puoi rifiutare una connessione TCP che ha l'intento successivo di visitare un particolare URL, perché la connessione TCP deve essere fatta prima che le informazioni possano essere trasferite.

Per essere onesti, non me ne preoccuperei. Probabilmente è un attacco drive-by contro un plugin o CMS casuali che non hai. Se il tuo server risponde con un 404, non c'è molto che puoi fare in risposta. Non esiste una vera minaccia alla sicurezza da mitigare qui.

Detto questo, potresti esaminare l'installazione di mod_security per fornire una protezione di sicurezza generica generica contro gli attacchi drive-by.

    
risposta data 20.03.2015 - 14:35
fonte

Leggi altre domande sui tag