Tengo una aplicación web que se ha implementado recientemente en AWS.
En los últimos días, recibí solicitudes aleatorias para admin urls, como /admin.php , wp-admin.php etc. (obviamente están tratando de encontrar secciones explotables)
Quiero crear una lista negra de direcciones IP que accedan a esas URL.
¿Hay una lista de URL explotables, así que capturo todas las direcciones IP que intentan acceder a ellas?
He buscado mucho en Google y no encontré nada demasiado útil.
¿Has probado Fail2Ban? Uno de sus filtros preconfigurados para Apache está diseñado para "hacer coincidir las solicitudes web de las URL seleccionadas que no existen", y le permitirá prohibir las direcciones ofensivas en consecuencia.
Si la memoria te sirve, puedes personalizar las prohibiciones para que caduquen después de un período de tiempo específico, y activarlas después de un número específico de violaciones, por lo que puedes configurarlo para bloquear cualquier ip que intente acceder a /admin.php durante 3 días , reduciendo drásticamente la viabilidad de las exploraciones aleatorias sin bloquear permanentemente una IP que pronto podría pertenecer a un visitante legítimo.
Cómo hacer aquí o aquí para te ayuda a empezar.
El filtro que creo que estás buscando se llama apache-botsearch.conf en mi sistema.