Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2018-05-22 14:32:07
MC775 - Nowy użytkownik
- MC775
- Nowy użytkownik
- Zarejestrowany: 2018-05-22
Blokowanie botów - skrypt, program
Cześć,
posiadam małą stronę internetową (sklep) na własnym VPS-ie. Od jakiegoś czasu obserwuję w logu Apache bardzo wiele wpisów świadczących o próbie poszukiwania panelu phpmyadmin, np:
121.31.21.136 - - [22/May/2018:07:14:32 +0200] "GET /phpmyadmin/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:33 +0200] "GET /phpMyAdmin/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:33 +0200] "GET /pmd/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:34 +0200] "GET /pma/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:35 +0200] "GET /PMA/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:36 +0200] "GET /PMA2/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:36 +0200] "GET /pmamy/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:37 +0200] "GET /pmamy2/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:38 +0200] "GET /mysql/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:38 +0200] "GET /admin/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:40 +0200] "GET /db/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:41 +0200] "GET /dbadmin/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:42 +0200] "GET /web/phpMyAdmin/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:42 +0200] "GET /admin/pma/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:43 +0200] "GET /admin/PMA/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
121.31.21.136 - - [22/May/2018:07:14:44 +0200] "GET /admin/mysql/index.php HTTP/1.1" 302 184 "-" "Mozilla/5.0"
Niektóre z tych botów są trochę sprytniejsze bo skanowania wykonują co kilka sekund. Wiem, że samo poszukiwanie panelu nie jest żadnym zagrożeniem, ale pojawia się problem logowania bo logi dostępu do serwera rosną lawinowo. Logrotate jest ustawiony prawidłowo i jakoś sobie z tym radzi, ale na tym VPS-ie mam tylko jeden procesor i wolałbym żeby nie był obciążony logowaniem jakichś chińskich botów. Czy jest możliwość aby stworzyć skrypt powłoki lub skorzystać z jakiegoś oprogramowania, które będzie analizowało log Apache i w przypadku natrafienia na ciąg znaków "phpmyadmin" albo "mysql" od razu dodawało blokującą (DROP) regułę do iptables? Coś w stylu fail2ban.
Pozdrawiam.
Offline
#2 2018-05-22 15:25:51
morfik - 
Cenzor wirtualnego świata
Re: Blokowanie botów - skrypt, program
To sobie ustaw logowanie by ci nie łapał tych ścieżek. Poniżej przykład:
Kod:
SetEnvIf Request_URI "^\/cos\/cos\/cos$" dontlog
CustomLog ${APACHE_LOG_DIR}/access.log combined env=!dontlogWięcej tu masz:
https://httpd.apache.org/docs/current/mod/mod_setenvif.html
https://httpd.apache.org/docs/current/mod/mod_log_config.html
Offline
#3 2018-05-22 15:27:27
urbinek - Dzban Naczelny
#4 2018-05-22 17:38:37
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Blokowanie botów - skrypt, program
Co prawda nie na Apachu ale na Nginxie, wszystko na VPS mam podzielone na publiczne i prywatne, wszystko co prywatne jest schowane za certyfikatem PKCS#12.
Do logów praktycznie nie zaglądam, ale potwierdzam, na stronie
Kod:
https://admin.{domena.tld}/awstats//awstats.nginx.errors404.htmWywołania do Phpmyadmina, panelu administracyjnego a nawet ścieżki typu /asterisk/ czy /backofiice/ to norma.
Masz tu listę jednego VPSa z ostatnich kilku dni.
https://pastebin.com/raw/b2z01my4
Ale to zwykły śmietnik, nie ma się praktycznie czym interesować, o ile serwera nie konfigurował jakiś lama.
Proponowanego wyżej fail2bana nie potrzebujesz, Apache ma taką fajną zabawkę jak httpd-guardian, którą można stosunkowo prosto podłączyć do modułów Apacha mod-security czy mod_evasive.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2018-05-22 17:44:46)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2018-05-27 21:46:15
MC775 - Nowy użytkownik
- MC775
- Nowy użytkownik
- Zarejestrowany: 2018-05-22
Re: Blokowanie botów - skrypt, program
Dziękuję wszystkim za odpowiedzi, szczególnie przydatna okazała się porada z http-guardian. :)
Jeżeli już o mod_security mówimy to przeglądając log modsec_audit widzę trochę wpisów z próbami ataków xss, sql injection. Większość to jakaś amatorszczyzna - boty albo próby ataków na zasadzie kopiuj-wklej z jakiegoś forum informatycznego. Nie mniej jednak, zastanawia mnie tak duża liczba "syfu". Nie zdążyłem jeszcze na dobre otworzyć swojej strony a już zaczynam martwić się o bezpieczeństwo. Sądzę, że serwer jest skonfigurowany poprawnie, aczkolwiek jakimś super administratorem nie jestem a jak wiadomo jedynym bezpiecznym serwerem jest ten odłączony od prądu. :)
Jak te boty w ogóle trafiają na moje IP? Czy to na zasadzie losowego generowania adresu, czy np. moje IP mogło być przydzielone kiedyś do jakiejś dużej aktywnej usługi i jest w bazie aktywnych adresów?
Offline
#7 2018-06-01 17:04:31
mati75 - Psuj
- mati75
- Psuj
- Skąd: masz ten towar?
- Zarejestrowany: 2010-03-14
Re: Blokowanie botów - skrypt, program
Jak vps gdzie masz własne jądro to xtables-addons-dkms, taka konfiguracja:
Kod:
DROP tcp -- anywhere anywhere -m geoip --source-country KR,CN,IN,RU,SA,TR,VN,UA,BR,VE,PK,JP
wycina 90% nie chcianego ruchu. Do tej pory jedna osoba się do mnie zgłosiła że ma problem połączeniem.
Offline
#8 2018-06-01 19:18:05
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Blokowanie botów - skrypt, program
mati75 napisał(-a):
Jak vps gdzie masz własne jądro to xtables-addons-dkms, taka konfiguracja:
Kod:
DROP tcp -- anywhere anywhere -m geoip --source-country KR,CN,IN,RU,SA,TR,VN,UA,BR,VE,PK,JPwycina 90% nie chcianego ruchu. Do tej pory jedna osoba się do mnie zgłosiła że ma problem połączeniem.
Szkoda czasu, 95% ataków na phpmyadmina i inne "backoffice" i tak idzie przez TORa,
więc GEOIP pod względem bezpieczeństwa można o doopę potłuc.
GEOIP może pomóc jedynie na ataki DOS/DDOS z zagranicy, ale do tego lepszy jest CloudFlare
Porządna autoryzacja http + limit prób (np apache evasive) to minimum, optymalny i moim zdaniem niezniszczalny sposób to dodatkowa autoryzacja certem PKCS$12.
Pierwszy raz mi się udało zrobić pKCS#12 na Apachu i Ligthttpd wg tego:
https://linuxconfig.org/apache-web-server-ssl-authentication
Od tego czasu to moje ulubione zabezpieczenie. ;)
Ostatnio edytowany przez Jacekalex (2018-06-01 19:25:29)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline