Previniendo ataques en busca de PHPMyAdmin etc.

5

Tengo un servidor web Linux que ejecuta Rails y cada vez que reviso los registros de Nginx encuentro intentos de acceder a PHPMyAdmin, a la base de datos y a los directorios de administración como este:

190.196.161.110 - - [16/Oct/2011:23:37:31 +0100] "GET //PHPMyAdmin/ HTTP/1.1" 404 728 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"

Los ataques provienen de una variedad de direcciones IP diferentes y solo incrementan los números de versión y comprueban cada directorio, por ejemplo. GET // PHPMyAdmin 1.0 /, GET // PHPMyAdmin 1.1 / etc.

¿Esto afectará mucho el rendimiento de mi servidor web? Además, hay una manera de prohibir automáticamente las direcciones IP que hacen tales cosas, por ejemplo. como fail2ban para los intentos de inicio de sesión en ssh.?

    
pregunta rsl 17.10.2011 - 12:43
fuente

2 respuestas

10

Si está utilizando Apache para tales aplicaciones, puede consultar ModSecurity , mod_evasive y / o mod_qos . Los dos últimos están más orientados hacia la fuerza bruta y los ataques DoS. Aunque ModSecurity tiene un montón de cosas debajo de su banner.

    
respondido por el Ryan Draga 17.10.2011 - 14:59
fuente
3

Fail2ban tiene un secuencia de comandos de ejemplo para hacer esto desde los archivos de registro de Apache. Básicamente, busque la cadena PHPMyAdmin en sus registros con un 404.

    
respondido por el Jeff Ferland 17.10.2011 - 16:43
fuente

Lea otras preguntas en las etiquetas