регулярно сканируют сервер. как бороться ?

Тема в разделе "Администрирование серверов", создана пользователем 2cher777, 31 авг 2018.

Модераторы: mefish
  1. 2cher777

    2cher777

    Регистр.:
    10 мар 2018
    Сообщения:
    293
    Симпатии:
    120
    В логах ошибок регулярно рз в 2-3 дня вижу попытки регулярных сканирований в надежде найти PHPmyAdmin

    Как бороться с этими гуками?
    И нафига им PMA? Брутфорсить доступ?
     
  2. mefish

    mefish Support

    Moderator
    • Супермодератор
    Регистр.:
    30 авг 2007
    Сообщения:
    913
    Симпатии:
    653
    nginx + правила для bad bot + правила для referer, как минимум
     
    NightHunter и 2cher777 нравится это.
  3. pautina

    pautina Постоялец

    Регистр.:
    15 фев 2010
    Сообщения:
    110
    Симпатии:
    35
    Самый надежный способ fail2ban jail phpmyadmin.
    Поищите в гугле, статьей масса как настраивать.
     
    2cher777 нравится это.
  4. Stesh

    Stesh

    Регистр.:
    3 фев 2009
    Сообщения:
    292
    Симпатии:
    120
    Слишком громозко получается, та как он должен бегать по всему логу, не самый легкий скрипт.
    Все можно сделать средствами nginx, в map отлавливать плохие $request_uri (тем более, что это будет идти на все виртуальные хосты, что весьма удобно), как пример
    Код:
    map $request_uri $allow {
        default 0;
        /pma 1;
        /myadmin 1;
    }
    затем простой if в виртуальном конфиге блочит сам запрос аля
    Код:
        if ($allow = 1) {
            return 403;
        }
    И вишенка на тортик, это задаем формат лога
    Код:
    log_format 403 '$remote_addr'
    и тогда в виртуальном сервере пишем лог забаненных отдельно
    Код:
    [CODE]    if ($allow = 1) {        
            access_log /var/logs/nginx/access403.log 403;
            return 403;
        }
    [/CODE]
    Дальше простым bash работаем с готовым списком плохих ip /var/logs/nginx/access403.log
     
    Mihwas и 2cher777 нравится это.
  5. Twix007

    Twix007

    Регистр.:
    11 окт 2009
    Сообщения:
    221
    Симпатии:
    55
    у меня на такие случаи fail2ban - там и правил много готовых
     
    2cher777 нравится это.
  6. hd48915

    hd48915 Постоялец

    Регистр.:
    2 янв 2013
    Сообщения:
    51
    Симпатии:
    12
    За файрволом прятать нужно. Потом по логам блокировка адресов
     
  7. PaHeTka1

    PaHeTka1 Создатель

    Регистр.:
    9 апр 2016
    Сообщения:
    24
    Симпатии:
    1
    а на сколько нужно ПМА держать в наружу? от повторных реквестов файл2бан юзаем
     
  8. omnisilence

    omnisilence Писатель

    Регистр.:
    31 май 2017
    Сообщения:
    5
    Симпатии:
    1
    если ПМА нужна, лучше настроить исключения для определенных хостов
     
  9. Zedxxx

    Zedxxx Создатель

    Регистр.:
    12 июн 2018
    Сообщения:
    11
    Симпатии:
    1
    Сканирование серверов это постоянна проблема, самый оптимальный способ это конечно fail2ban, без него сейчас никуда
     
  10. Gaudi

    Gaudi

    Регистр.:
    11 янв 2007
    Сообщения:
    438
    Симпатии:
    399
    fail2ban если брут, а так ..., не уверен что это панацея

    ну зайдет к вам такой умник из под популярного VPN, мобильного оператора и т.п., ну заблочите вы IP, и потеряете потенциальных посетителей
    первое, это нужно на уровне iptables дропать по юзерагенту
    потом по GEO (очень много из китая прет)
    далее уже nginx разруливать, и отдавать лучше не 403, а 404, так как 403 ошибка подразумевает что адрес есть, но доступ запрещен
     
    2cher777 нравится это.