регулярно сканируют сервер. как бороться ?

2cher777

Постоялец
Регистрация
10 Мар 2018
Сообщения
302
Реакции
138
В логах ошибок регулярно рз в 2-3 дня вижу попытки регулярных сканирований в надежде найти PHPmyAdmin
Скрытое содержимое доступно для зарегистрированных пользователей!

Как бороться с этими гуками?
И нафига им PMA? Брутфорсить доступ?
 
Самый надежный способ fail2ban jail phpmyadmin.
Поищите в гугле, статьей масса как настраивать.
 
Слишком громозко получается, та как он должен бегать по всему логу, не самый легкий скрипт.
Все можно сделать средствами nginx, в map отлавливать плохие $request_uri (тем более, что это будет идти на все виртуальные хосты, что весьма удобно), как пример
Код:
map $request_uri $allow {
    default 0;
    /pma 1;
    /myadmin 1;
}
затем простой if в виртуальном конфиге блочит сам запрос аля
Код:
    if ($allow = 1) {
        return 403;
    }
И вишенка на тортик, это задаем формат лога
Код:
log_format 403 '$remote_addr'
и тогда в виртуальном сервере пишем лог забаненных отдельно
Код:
[CODE]    if ($allow = 1) {        
        access_log /var/logs/nginx/access403.log 403;
        return 403;
    }
[/CODE]
Дальше простым bash работаем с готовым списком плохих ip /var/logs/nginx/access403.log
 
у меня на такие случаи fail2ban - там и правил много готовых
 
За файрволом прятать нужно. Потом по логам блокировка адресов
 
а на сколько нужно ПМА держать в наружу? от повторных реквестов файл2бан юзаем
 
если ПМА нужна, лучше настроить исключения для определенных хостов
 
Сканирование серверов это постоянна проблема, самый оптимальный способ это конечно fail2ban, без него сейчас никуда
 
fail2ban если брут, а так ..., не уверен что это панацея

ну зайдет к вам такой умник из под популярного VPN, мобильного оператора и т.п., ну заблочите вы IP, и потеряете потенциальных посетителей
первое, это нужно на уровне iptables дропать по юзерагенту
потом по GEO (очень много из китая прет)
далее уже nginx разруливать, и отдавать лучше не 403, а 404, так как 403 ошибка подразумевает что адрес есть, но доступ запрещен
 
Назад
Сверху