Defensa apropiada para 404s en mis registros: escaneos web persistentes de una región

Esto es bastante bien el ruido de fondo de Internet. Dado que phpMyAdmin tenía un historial de seguridad tan pobre, no es raro ver sistemas que buscan instancias de que se ejecuten en la red. Lo más probable es que eso es exactamente lo que está sucediendo. Hay algunas cosas que podría hacer para tomar acción en una actividad de este tipo, aunque una o las que elija dependerán enormemente de cómo se utilice su sitio.

Bloquea completamente
Dependiendo de quién necesite acceder a su sitio web, puede insertar reglas de firewall para permitir solo el acceso desde direcciones específicas o rangos de direcciones. Por ejemplo:

-A INPUT  -s 198.51.100.50-m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT  -s 203.0.113.0/24 -m tcp -p tcp --dport 80 -j ACCEPT

Esto permitirá específicamente la dirección del host 198.51.100.50 y la red 203.0.113.0/24. En este caso, el beneficio es limitar el alcance de su acceso a un conjunto relativamente pequeño, sin embargo, debe saber dónde se requiere el acceso.

Conexiones de límite de velocidad
IPtables ha incorporado soporte para limitación de velocidad. Como ejemplo, tome estas reglas de firewall:

-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --set --name WEB
-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name WEB -j DROP

Lo que esto hará es limitar cada dirección de origen a solo 8 conexiones en 60 segundos. Es posible que estos valores deban ser ajustados, dependiendo de su entorno, pero sin duda ralentizarán cualquier tipo de fuerza bruta o exploración rápida.

Detección dinámica y bloqueo
Existen varias aplicaciones para hacer esto, pero básicamente todas funcionan de la misma manera:

1. Lee archivos de registro específicos para eventos procesables
2. Comparar eventos contra algún tipo de sistema de puntuación
3. Actúa si cumple con los criterios

Uno de los más populares (alerta de subjetividad) es probablemente una aplicación llamada fail2ban . Procesará una gran variedad de registros en su sistema, incluidos SSH y Apache, y emitirá bloques para aquellas direcciones de origen que cometan un comportamiento "sospechoso". Por lo general, esto sería agregar una regla de caída de IP de origen en el servidor de seguridad del host. Usted menciona que está utilizando Nginx como su servidor web, por lo que tendría que investigar si fail2ban, o qué otro producto, funcionaría para usted.

Sí, esos son solo scripts de escaneo, en busca de versiones vulnerables de phpmyadmin y otro software para explotar.

Hay varias formas de combatir estos problemas.

Uno de ellos es a través de utilidades como fail2ban, que (entre otras cosas) puede monitorear los registros del servidor web y prohibir las IP en el firewall que coincida con sus criterios.

En tu caso específico, mira esta publicación (aunque debes convertirla para nginx)

También puedes ir al revés, y filtrar automáticamente los ips malos que se ven en la naturaleza y categorizados como bots, también existen herramientas para eso.

Bueno, ante todo, parece que serían de países del bloque soviético. Segundo, podría ser un escáner de vulnerabilidad, pero si no tiene el software, ¿qué importa? Le gustaría incluir en la lista blanca las direcciones IP + MAC (donde estática) que están involucradas con sus operaciones de red. ¿Qué tan separadas están las solicitudes, estamos hablando de 20 solicitudes en una semana o 4000 en un minuto? Podría considerar la configuración de un IDS para ver al menos todo lo que se le presente, o un paso más implementar un IPS y monitorear esos registros activamente. Si el cuadro que se está escaneando es crítico, también sugeriría desconectarlo un poco para que se ejecute un análisis en él para ver si algo más no pertenece a él.