szerkesztése Kínában trollkodik, és nem tudom, miért nem tilthatom le kérésemet a szerveremre .

//host.deny 

ALL: item.taobao.com ALL: 117.25.128.*

De amikor a hibanaplót a webszerveremen nézem, tail -f /var/log/apache2/error.log a kéréseket továbbra is engedélyezzük.

Kérdés: Miért nem működik az /etc/hosts.deny konfigurációm?

Válasz

  1. A fájl neve /etc/hosts.deny, nem pedig host.deny

  2. Nem minden szolgáltatás használ TCP-csomagolókat. Például a sshd alapértelmezés szerint nem “t”. Az apache sem.

  3. Használhatja a iptables az összes csomag blokkolásához a 117.25.128 / 24-től, pl .: 

      iptables -I INPUT -s 117.25.128.0/24 -j DROP

  4. Még jobb, ha a fail2ban segítségével naplófájlt figyelhet (például az apache access.log és / vagy error.log), és automatikusan blokkolja az IP-címeket, amelyek megpróbálják megtámadni a szervert.

A debian fail2ban csomag leírásából:

A Fail2ban figyeli a naplófájlokat (pl. /var/log/auth.log, /var/log/apache/access.log), és a meglévő tűzfalszabályok frissítésével ideiglenesen vagy tartósan tiltja a hibára hajlamos címeket.

A Fail2ban lehetővé teszi a különböző műveletek egyszerű megadását, például az IP letiltását az iptables vagy a hosts.deny szabályok használatával, vagy egyszerűen értesítési e-mail küldését.

Alapértelmezés szerint a szűrő kifejezéseket tartalmazza a különböző szolgáltatásokhoz (sshd, apache, qmail, proftpd, sasl stb.), de a konfiguráció könnyen kiterjeszthető bármely más szövegfájl nyomon követésére. Minden szűrő és művelet a konfigurációs fájlokban van megadva, így a fail2ban alkalmazható különféle fájlokkal és tűzfalakkal együtt.

Megjegyzések

  • Ok, igen, én ‘ szerkesztem a csempét. Hát rendben, jól kipróbáltam a iptables -A INPUT -s 117.25.128.0/24 -j DROP -t, de ez sem ‘ nem blokkolta.
  • -I INPUT beszúrja az új szabályt az INPUT lánc tetejére. -A INPUT hozzáadja a lánc aljára. ha -A INPUT nem működött, akkor a láncban korábban kellett volna lennie valamilyen más szabálynak, amely lehetővé tette ezeket a csomagokat.
  • ahhh oké, én ‘ m feltételezem, hogy az elsőbbség fentről lefelé van?
  • igen az első megfelelő szabály nyer.
  • Tökéletesnek tűnik, hogy működjön! Köszönöm. Gyors kérdés, bár nagyon sok kérés ugyanazon referenciából származik. (item.taobao.com) különböző kliens IP-vel ‘ s, tehát én ‘ m feltételezem, hogy ők ‘ valamilyen típusú átirányítást használ. Van-e mód blokkolni hivatkozó szerint, vagy blokkolni 117. * segítségével, helyettesítő karakterként,

válasz

Ami az eredeti kérdését illeti. A Debian Apache-m nincs konfigurálva a libwrap-tal, ezért nem fogja megkérdezni a hosts.deny-t. [Az előző válasz már említi – a valóság az, hogy a tcpwrappers nem a biztonság megtestesítője, mint a 90-es években, különösen, amikor jön nem feketelistára]. Nem démonként, hanem az (x) inetd fájlból kell futtatnia, ami lelassítja (jelentősen).

Blokkolhatja / engedélyezheti a hozzáférést Apache szinten, és megteheti nem kell tcp csomagolók az Apache-hoz [sem az IPTV-k]. Nem említetted az ssh-t, de soha nem hagyom az ssh-kiszolgálókat közvetlenül kívülre nyitva. Azonban olvass tovább.

Van egy 300-as vhostunk + domainek, és hasonló problémák, a taobao-val, a baiduval és gyakran még a google pókokkal is. Nevezetesen a baidu pókok meglehetősen agresszívek és tartósak lehetnek.

Mint már kitaláltátok, vannak szervereik, és még akkor is, ha blokkol egy IP-t, hamarosan újra megjelennek más IP-címeknél.

Egyáltalán nem célszerű megpróbálni fenntartani a lis Az IP-címek / netblokkok kézzel.

Ami számunkra meglehetősen jól működik, az az, hogy a modsecurity véglegesen blokkolja a felhasználói ügynök húrjait, míg a mod_evasive átmenetileg a visszaélésszerű IP-ket.

Ez a beállítás a keresőmotorok pókjainak lelassítása mellett az az előnye is, hogy a zombikat lecsökkenti, és megpróbálja kitalálni a jelszavakat a CMS-eken. >

És a mod-evasive.conf 

DOSHashTableSize 2048 DOSPageCount 10 DOSSiteCount 300 DOSPageInterval 2.0 DOSSiteInterval 1.0 DOSBlockingPeriod 600.0 DOSLogDir /var/log/apache2/evasive DOSWhitelist 127.0.0.1 DOSWhitelist 1xx.xxx.xxx.xx

Egy nagyon is valós lehetőséget elfelejtettem. Ha nem Kínával foglalkozik, vagy otthoni szerverét futtatja, csak blokkolja az egész országot. A támadások és a rosszindulatú programok szintje sok szakembert indokolt erre.

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

Ehhez a meglehetősen hosszú válaszhoz elfelejtettem hozzáadni egy lábjegyzetet.Gyakran az emberek azt javasolják a munkahelyemen, hogy a robots.txt fájlt használjam ilyen jellegű problémákra. A lényeg: a robots.txt csak egy javaslat a távoli programokhoz. A szélhámos színészek biztosan figyelmen kívül hagyják őket, és nem garantált, hogy más webrobotok manapság tiszteletben tartsák őket. Például tesztjeink alapján úgy tűnik, hogy Baidu nem tartja tiszteletben őket. (A robots.txt annyit tesz, mintha egy gengsztert kérdeznének, kérem, csiklandozzon, és ne ütjön)

Megjegyzések

  • Köszönöm ember! igen, én ‘ m def a mod_evasive-ot fogom használni, ezek a konfigurációs fájlbeállítások jól működnek az Ön számára?
  • Egészen jól működnek, a legtöbb tárhelyünknek nincs sok látogatók. Ellenkező esetben meg kell növelnie a dospagecount (maximális látogatás egyetlen oldalra egy IP-ből), és ennek megfelelően a dossitecount (max. Látogatások és IP) számát.
  • Kérem, nézze meg újra az első soraimat.
  • Értelme van, én ‘ átolvasom a beállításokat. Ezúton is köszönöm a segítséget!
  • (ne vegye rosszul, csak a címek blokkolásának javaslata a webszerveren vagy az Apache lehet jobb cím) … ennek ellenére nem erre a megjegyzésre érkeztem itt újra, olvassa el újra a választ, kérem. A kezdeti megjegyzések mellett a végén találsz még valami érdekeset.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük