Ataque proveniente de múltiples IPs

Navega tus respuestas
0

Tengo un ataque que llega repetidamente a una ruta específica: cada 10 minutos aproximadamente, se hace ping a la misma dirección.

Lo sé porque sigo recibiendo un mensaje de error en mis registros de Drupal sobre un intento de acceder a una página que no existe.

sites / default / files / cache.php

¿Cómo puedo prohibir los intentos de conexión a esta dirección? Tengo IPtables habilitado, tengo varios módulos de Drupal configurados para informar y prohibir el tráfico inusual (pero por alguna razón esto se ha logrado), y el archivo ni siquiera existe.

    
pregunta Andy Alexander 20.03.2015 - 13:58
fuente

1 respuesta

1

Si solo quieres bloquear una IP específica: 

iptables -A INPUT -s 1.2.3.4 -j DROP

No puede rechazar una conexión TCP que tenga la intención posterior de visitar una URL específica, ya que la conexión TCP debe realizarse antes de que esa información pueda transferirse.

Para ser honesto, no me preocuparía por eso. Es probable que sea un ataque automovilístico contra un complemento aleatorio o un CMS que no tiene. Si su servidor responde con un 404, no hay mucho que pueda hacer para responder. No hay una amenaza real de seguridad para mitigar aquí.

Dicho esto, podría considerar la instalación de mod_security para proporcionar cierta protección de seguridad genérica contra los ataques de paso.

    
respondido por el Polynomial 20.03.2015 - 14:35
fuente

Lea otras preguntas en las etiquetas

localhost to localhost tráfico ICMP que es sospechoso ... ¿alguna idea de lo que está creando esto? Usando la red TOR con un Proxy