регулярно сканируют сервер. как бороться ?

Тема в разделе "Администрирование серверов", создана пользователем 2cher777, 31 авг 2018.

XEvil 4.0 Релиз Состоялся!
Модераторы: mefish
  1. Stesh

    Stesh

    Регистр.:
    3 фев 2009
    Сообщения:
    297
    Симпатии:
    118
    А кто говорит, что на каждый чих запрос делать. Тем более, делать это на php - нечего тогда говорить о производительности, ибо запрос от плохого бота должен рубиться на подлете, чем раньше, тем лучше.
    Логика достаточно проста и легко вписывается в тот же nginx.
    Есть список ASN того же яндекса, он достаточно статичен, чтобы выдергивать все подсети по крону скажем раз в неделю или раз в сутки и сохранять в удобном виде.
    Дальше, приходит бот с юзерагентом яндекса, проверяем, входит ли в диапазон этих подсетей, если да - проверяем по блеклисту, если нет - отлуп. Все пишем в лог. Дальше по крону вытягиваем лог, парсим, число совпадений на подсеть /24 (к примеру) - значит подсеть в черный список (допустим ipset), туда же одиночные с пачкой запросов, одиночные и редкие - в серый (путь там limit работает).
    Это все пишется на банальном баше. Работает быстро и непринужденно.
     
    A_L_I_E_N нравится это.
  2. 55437543

    55437543 Постоялец

    Регистр.:
    23 июн 2011
    Сообщения:
    52
    Симпатии:
    5
    Последнее редактирование: 22 апр 2019
  3. vaskoprog14

    vaskoprog14 Создатель

    Регистр.:
    4 мар 2012
    Сообщения:
    49
    Симпатии:
    13
    Я на роутере Microtic написал скрипт который банит на время по IP неудачные подключения на SSH
     
  4. t2me

    t2me Создатель

    Регистр.:
    27 авг 2016
    Сообщения:
    10
    Симпатии:
    1
    Можно просто установить
    Fail2ban
     
  5. DarkNight

    DarkNight Писатель

    Регистр.:
    30 окт 2016
    Сообщения:
    2
    Симпатии:
    1
    я соглашусь микротик будет проще настроить чем катать скрипты :) тут на любтеля
     
  6. Stesh

    Stesh

    Регистр.:
    3 фев 2009
    Сообщения:
    297
    Симпатии:
    118
    Чем проще?
    Первое - его нужно иметь, и не просто иметь, а завернуть на него трафик. Не всегда это возможно технически.
    Второе - его нужно знать. И не просто знать, а на чуть более продвинутом уровне, он хоть и на базе линукса, но это не iptables все таки. Порог вхождения имеет быть место.
    Третье - микротик нормально работает на l2-l4 уровнях, т.е. мак, ip, протокол, порт. На l7 он работает не очень хорошо, там где nginx отбивает на раз, микротику слегка поплохеет.
    Любители блин.