สิ่งที่คุณต้องการคือFail2ban (สมมติว่านี่เป็นเครื่อง linux คุณไม่ได้พูด ... )
Fail2ban คืออะไร
Fail2ban จะแยกวิเคราะห์บันทึกระบบค้นหานิพจน์ทั่วไปเพื่อบล็อก เมื่อพบการแข่งขัน (หรือการแข่งขันหลายรายการจาก IP เดียวกันขึ้นอยู่กับวิธีที่คุณกำหนดค่า) มันจะบล็อกโดยทั่วไปผ่าน IPTables โดยทั่วไปจะใช้เพื่อบล็อกการพยายามรับรองความถูกต้องล้มเหลวกับ SSH หรือเว็บเซิร์ฟเวอร์
คุณกำหนดค่าให้แบนพวกเขาตามระยะเวลาที่กำหนด (อาจเป็นนาทีอาจเป็นวัน ... ขึ้นอยู่กับว่าพวกเขาเป็นอย่างไร) หลังจากนั้นการแบนจะหมดอายุเว้นแต่พวกเขาจะลองอีกครั้ง
วิธีนี้ช่วยบล็อกบอทสแกน phpmyadmin ได้อย่างไร
สามารถใช้เพื่อจับคู่สัญญาณทั่วไปของการโจมตีได้อย่างง่ายดายเช่นพยายามเข้าถึงโฟลเดอร์ phpmyadmin ที่ไม่มีอยู่จริง คุณจะต้องค้นหานิพจน์ทั่วไปที่ถูกต้องเพื่อให้ตรงกับความพยายามดังกล่าวและให้แน่ใจว่าคุณไม่ปิดกั้นผู้ใช้ที่ถูกกฎหมาย
การกำหนดค่าที่กำหนดในโพสต์บล็อกนี้อาจใช้งานได้ทุกคำหรือต้องมีการปรับแต่งเล็กน้อยสำหรับการตั้งค่าของคุณ
เหตุใดฉันจึงควรปิดกั้นพวกเขา ข้อผิดพลาด 404 มีค่าใช้จ่ายไม่มาก
การปิดกั้นพวกเขาใน iptables มีประโยชน์บางอย่าง - อัตราต่อรองคือถ้าพวกเขากำลังตรวจสอบช่องโหว่ phpmyadmin พวกเขาอาจลองใช้บริการอื่น ๆ เพื่อหาช่องโหว่เช่นกันจนกว่าพวกเขาจะตีสิ่งที่ใช้งานได้ การแบนพวกเขาจะทำให้บอท / สคริปต์ส่วนใหญ่ยอมแพ้หลังจากชั่วขณะหนึ่งและพวกเขาจะไปยังเป้าหมายที่ดีกว่า
แม้ผ่านการสแกนจะไม่เสียค่าใช้จ่ายมากนัก (ยกเว้นว่าพวกเขาพบช่องโหว่) พวกเขาทำบันทึกของคุณทำให้ยากที่จะเห็นการโจมตีที่ประสบความสำเร็จและปัญหากับเว็บเซิร์ฟเวอร์ของคุณ
ตามความคิดเห็นด้านล่างบอกว่า Fail2ban จำเป็นต้องใช้ทรัพยากรระบบบางอย่าง แต่ไม่มาก อย่างน้อยที่สุดฉันก็บอกได้ว่าฉันไม่เคยมีปัญหาเรื่องประสิทธิภาพเลย อย่างไรก็ตามฉันมีปัญหาด้านประสิทธิภาพจากสคริปต์ที่ก้าวร้าวซึ่งพยายามบังคับให้ใส่รหัสผ่านหรือพยายามฉีด SQL หลายพันครั้งและหาช่องโหว่อื่น ๆ ต่อวินาทีที่เซิร์ฟเวอร์ของฉัน การบล็อกที่ระดับไฟร์วอลล์จะใช้ทรัพยากรน้อยกว่าการบล็อกในระดับเซิร์ฟเวอร์ / แอปพลิเคชัน นอกจากนี้ยังสามารถขยายเพื่อเรียกใช้สคริปต์ที่กำหนดเองเพื่อห้ามที่อยู่ IP - ดังนั้นแทนที่จะแบนใน IPtables คุณอาจจะห้ามมันในไฟร์วอลล์ฮาร์ดแวร์หรือส่งอีเมลถึงใครบางคนถ้าบุคคลเดียวกันพยายามโจมตีคุณเพื่อให้คุณสามารถบ่น ไปยัง ISP ของพวกเขาหรือให้ดาต้าเซ็นเตอร์ของคุณบล็อกพวกเขาบนไฟร์วอลล์
เคล็ดลับอื่น ๆ ?
ขอแนะนำเป็นอย่างยิ่งว่าคุณอนุญาตรายการที่อยู่ IP บางรายการที่คุณควบคุมเพื่อให้คุณไม่ล็อคตัวคุณเองโดยไม่ได้ตั้งใจ