Question Interdire automatiquement l'adresse IP si elle accède à une certaine URL


Je m'ennuie de tous ces muieblackcatet des scripts similaires ont été exécutés sur des sites Web. Puis-je bloquer une adresse IP (par exemple avec iptables) automatiquement, comme pendant une heure environ, dès qu’il accède à example.com/muieblackcat?

C'est sous Linux, avec Apache.


4
2017-12-19 15:12


origine




Réponses:


Pensez plutôt à supprimer ces demandes.

HAProxy (et je suppose que d’autres proxies HTTP) est capable d’identifier les résultats de scan «malveillants» et de retarder la réponse (ce qui ralentit temporairement le script d’attaque).

Si vous bloquez entièrement la réponse, le script d'attaque passera immédiatement à sa prochaine cible.


6
2017-12-19 17:48



C'est une bonne idée. HAProxy semble bien documenté aussi. Je pense que je vais l'utiliser! - Simon A. Eugster


Vous pourriez le faire, mais cela rendrait les attaques par déni de service triviales. Tout attaquant doit simplement accéder à votre site via le même proxy que celui que j'utilise et cliquer sur l'une de ces URL pour empêcher l'accès à votre site. Il y a encore des villes entières qui utilisent un proxy web.


22
2017-12-19 15:21



Et puis, il y a les utilisateurs dont les ordinateurs sont infectés par un logiciel malveillant d'analyse de vulnérabilité. Un ordinateur infecté sur un intranet de l’université, par exemple, pourrait entraîner un déni de service pour l’ensemble du campus. - Phil
Merci pour l'allusion - c'est un bon point. Surtout pour les sites Web bien connus. - Simon A. Eugster
Les pays aussi, c.f. Chine - Tom O'Connor


Voir Fail2Ban, il peut également analyser les fichiers journaux Apache.


15
2017-12-19 15:18





Je commencerais par utiliser un programme pour regarder les fichiers journaux; si une URL particulière est utilisée, elle devrait apparaître dans les journaux Apache. Vous pouvez utiliser SECONDE pour surveiller cet accès URL.

Lorsque l'accès à l'URL se produit, SEC peut exécuter une opération iptables commande pour bloquer l'adresse IP.


2
2017-12-19 15:21