私は、偽のphpMyAdminでハニーポットシステムをセットアップする必要があるかどうかを判断しようとしています(サイトは、そのアプリで不安にスパイダーしている人で常にヒットしています)。
私の考えは、phpMyAdminログインを模倣するハニーポットphpスクリプトを作成し、そのURLにヒットするIPをブラックリストに登録することでした(まだホワイトリストに登録されていません)。その後、robots.txtに適切なURLを追加して、実際にrobots.txtを尊重するスパイダーがブラックリストに捕まらないようにします。
このアプローチには欠点がありますか?合法的なロボットは特定の状況でrobots.txtを尊重しない場合がありますが、事前に考慮すべき問題がありますか?
このアプローチには欠点がありますか
はい。悪意のある者がプロキシIPを使用している可能性があります。最終的に同じIPを持つ正当なユーザーをブラックリストに登録することができ、ブラックリストに登録された場合、悪意のあるユーザーはIPを変更するだけです。
Robots.txtは助言プロトコルです。 no-onehasがあり、いくつかのスパイダーはフォローしていません(例: archive team )
そのため、ハニーポットをヒットしたすべてのユーザーをブラックリストに登録するのではなく、実際のphpMyAdminエリアにアクセスして他のすべてを除外するIPアドレスをホワイトリストに登録することを検討してください。 phpMyAdminディレクトリにアクセスできる場合、これを行う最も簡単な方法は、次のルールを持つ.htaccessファイルを含めることです。
order deny,allow
deny from all
# allow my home IP address
allow from XX.XX.XXX.XXX
# allow my work IP address
allow from XX.XX.XXX.XXX
ブラックリストの明らかな欠点は、ブラックリストに載せたいマシンとNATを共有している有効なユーザーをブロックすることです(例えば、VPNを備えた大企業と同様のセットアップを備えた外部IPまたは大学、あるいは一部のISPのみ)。
PhpMyAdminのバグを介して繁殖しようとするワームなどの特定の場合、感染したマシンをブラックリストに登録することになります。ウイルス対策ソフトウェアを使用してクリーンアップした後でも、ブラックリストに残ります。それはあなたが望むものでもありません。