Cum să blochez potențialii atacatori pe serverul meu

Pentru a fi succint și simplu, voi merge direct la subiect. Se pare că o grămadă de adrese IP încearcă să acceseze fișiere care au potențialul de a conține informații sensibile de server pe site-ul meu, care este încă în faza de dezvoltare alimentată de Linux și apache2 și primesc din ce în ce mai mult jurnalele de eroare apache2 ale unor IP-uri care încearcă să acceseze fișiere care nici măcar nu ieși pe serverul meu.

Iată câteva dintre jurnalele

[client 103.153.76.212:64595] scriptul „/var/www/websites/example.com/xmlrpc.php” nu a fost găsit sau nu a putut să statistice
[client 45.146.164.110:56158] scriptul „/var/www/websites/example.com/index.php” nu a fost găsit sau nu a putut să statistice
[client 5.188.210.227:31411] scriptul „/var/www/websites/example.com/echo.php” nu a fost găsit sau nu a putut să statistice
[client 45.146.164.110:32824] scriptul „/var/www/websites/example.com/index.php” nu a fost găsit sau nu a putut să statistice
[client 128.199.2.210:55528] scriptul „/var/www/websites/example.com/system_api.php” nu a fost găsit sau nu a putut statistic
[client 117.50.90.31:43096] scriptul „/var/www/websites/example.com/wp-login.php” nu a fost găsit sau nu a putut statistic
[client 143.198.136.88:39108] AH01630: client refuzat de configurația serverului: /var/www/websites/example.com/server-status
[client 143.198.136.88:39688] scriptul „/var/www/websites/example.com/info.php” nu a fost găsit sau nu a putut statistic
[client 45.146.164.110:34004] scriptul „/var/www/websites/example.com/index.php” nu a fost găsit sau nu a putut fi stat

Mi-am schimbat site-ul cu example.com, dar obțineți imaginea și am făcut câteva săpături pe acele adrese IP și nu am primit absolut nimic, deși ip-am arătat ca fiind datorat de un ISP rus.

Deci, evident, cine face asta verifică vulnerabilități, dar vreau să blochez automat acele ip-uri. Există un modul Apache2, un script php sau python pe care îl pot folosi pentru a realiza acest lucru...?

Sondele automate verifică continuu părți mari ale internetului încercând să determine ce server rulează, ce software îl alimentează și ce versiuni.

Unele dintre aceste sonde sunt în scopuri de cercetare valide, iar altele sunt mai puțin benigne și un precursor al încercărilor de exploatare a vulnerabilităților cunoscute din software.

Când serverul și software-ul dvs. sunt ținute la zi și corectate, este mai mult o pacoste decât un mare risc de securitate.

În general, instrumentul pentru detectarea unor astfel de sonde este un âsistem de detectare a intruziunilorâ sau IDS care este adesea cuplat cu un âsistem de prevenire a intruziunilorâ.

Wikipedia listează o grămadă de instrumente adecvate în intrarea IDS, o alegere comună în acest scenariu este fail2ban

Când sistemul dvs. de dezvoltare este public și online, în loc să blocheze anumite „adrese IP proaste”, abordarea comună este inversă:

• o patura "nega totul" pe toate adresele IP
• acordați acces doar unui număr limitat de „adrese IP bune cunoscute” care au nevoie de acces în prezent.

Aprofundarea unde este găzduit sistemul dvs. cu care se poate realiza

• o politică de acces aplicată într-un firewall extern și/sau cu grupuri de securitate
• prin politicile de acces pe serverul însuși:
  • un firewall bazat pe gazdă
  • controale de acces specifice aplicației, fie bazate pe IP și/sau altă autentificare, ca în Apache: https://httpd.apache.org/docs/2.4/howto/access.html

Rețineți că, cu acesta din urmă, atunci când aplicația aplică politica de control al accesului, de obicei acele acțiuni vor fi în continuare înregistrate și înregistrate în fișierele de jurnal ale aplicațiilor dvs.