Esto es bastante bien el ruido de fondo de Internet. Dado que phpMyAdmin tenía un historial de seguridad tan pobre, no es raro ver sistemas que buscan instancias de que se ejecuten en la red. Lo más probable es que eso es exactamente lo que está sucediendo. Hay algunas cosas que podría hacer para tomar acción en una actividad de este tipo, aunque una o las que elija dependerán enormemente de cómo se utilice su sitio.
Bloquea completamente
Dependiendo de quién necesite acceder a su sitio web, puede insertar reglas de firewall para permitir solo el acceso desde direcciones específicas o rangos de direcciones. Por ejemplo:
-A INPUT -s 198.51.100.50-m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -s 203.0.113.0/24 -m tcp -p tcp --dport 80 -j ACCEPT
Esto permitirá específicamente la dirección del host 198.51.100.50 y la red 203.0.113.0/24. En este caso, el beneficio es limitar el alcance de su acceso a un conjunto relativamente pequeño, sin embargo, debe saber dónde se requiere el acceso.
Conexiones de límite de velocidad
IPtables ha incorporado soporte para limitación de velocidad. Como ejemplo, tome estas reglas de firewall:
-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --set --name WEB
-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name WEB -j DROP
Lo que esto hará es limitar cada dirección de origen a solo 8 conexiones en 60 segundos. Es posible que estos valores deban ser ajustados, dependiendo de su entorno, pero sin duda ralentizarán cualquier tipo de fuerza bruta o exploración rápida.
Detección dinámica y bloqueo
Existen varias aplicaciones para hacer esto, pero básicamente todas funcionan de la misma manera:
- Lee archivos de registro específicos para eventos procesables
- Comparar eventos contra algún tipo de sistema de puntuación
- Actúa si cumple con los criterios
Uno de los más populares (alerta de subjetividad) es probablemente una aplicación llamada fail2ban . Procesará una gran variedad de registros en su sistema, incluidos SSH y Apache, y emitirá bloques para aquellas direcciones de origen que cometan un comportamiento "sospechoso". Por lo general, esto sería agregar una regla de caída de IP de origen en el servidor de seguridad del host. Usted menciona que está utilizando Nginx como su servidor web, por lo que tendría que investigar si fail2ban, o qué otro producto, funcionaría para usted.