iptablesを介して悪意のあるクローラーをブロックする価値はありますか?
サーバーログを定期的にチェックしていますが、多くのクローラーがphpmyadmin、zencart、roundcube、管理者セクション、その他の機密データの場所を検索していることに気付きました。次に、「MorfeusFuckingScanner」または「MorfeusStrikes Again」という名前のクローラーが、PHPスクリプトの脆弱性を検索し、次のような奇妙な(XSS?)GETリクエストを実行するクローラーもあります。
GET /static/)self.html(selector?jQuery(
GET /static/]||!jQuery.support.htmlSerialize&&[1,
GET /static/);display=elem.css(
GET /static/.*.
GET /static/);jQuery.removeData(elem,
これまで、iptablesを使用してこれらのIPをブロックするために、これらのIPを常に手動で保存してきました。しかし、これらのリクエストは同じIPから最大回数しか実行されないため、それらをブロックすることでセキュリティに関連する利点が得られるかどうか疑問に思っています。
ファイアウォールでこれらのクローラーをブロックするのに役立つかどうか、もしそうなら、これを自動的に行う(それほど複雑ではない)方法があるかどうかを知りたいです。そして、それが無駄な努力である場合、おそらくこれらの要求がしばらくして新しいIPから来るため、誰かがこれについて詳しく説明し、悪意のあるクローラーアクセスを拒否/制限するより効率的な方法の提案を提供できる場合。
参考:次の手順を使用して、w00tw00t.at.ISC.SANS.DFind:)クロールもすでにブロックしています: http://spamcleaner.org/en/misc/w00tw00t.html
サーバーソフトウェアベースのファイアウォールではなく、シスコのハードウェアベースのファイアウォールを使用しており、アクティビティのパターンを監視し、かなりの期間(30〜90日iirc)ブロックします。他のファイアウォールでもこれを実行できると確信していますが、経験はありません。基本的に私が言っているのは、ファイアウォールがルールを使用して悪用を探すことができれば、既知の犯人を単にブロックするよりもメリットが見られるということです。
それが価値があるかどうかは議論の余地があり、私は本当に知りません。
それらが異なるIPから来ており、IPをブロックすることによってのみ対応できるという事実についてのあなたの不満に関しては...リバースプロキシモードのApacheのようなリバースプロキシ(mod_proxy/mod_securityのようなもの)またはHAProxyでこれを修正できます。基本的に、事前にパターンを知っている場合は、Webサーバーに到達する前にそれらのリクエストをドロップすることができます。
また、少しの語彙では、これらのファイアウォールはWebアプリケーションファイアウォール(WAF)と呼ばれます。これらは、HTTP要求と応答を調べることにより、レイヤー7で動作します。
見つけた文字列/ GETの一部をいつでも取得できます。iptablesの文字列モジュールがすでにあるので、それらのパケットをログに記録/ドロップし、スクリプトを使用してファイアウォールへの追加を自動化できる可能性があります。
一般的に言って、これらのIPは何らかの方法で侵害されている可能性があるため、ブロックするのが適切だと思います。侵害されていて、ある攻撃を捕らえている場合は、別の攻撃を見逃している可能性があります。