痞酷網_PIGOO

 取回密碼
 立即註冊
搜尋
檢視: 2250|回覆: 25

請問怎麼用Apache 的設定阻擋這個IP

[複製連結]
發表於 2017-11-20 21:40:01 | 顯示全部樓層 |閱讀模式
以前我們論壇被入侵過,當時是被塞了一大堆東西在上方的目錄被,雖然有被清除,但是也不確定是否有清除乾淨。
後來在系統的error_log檔就一直出現某個IP或某些IP,就像這樣︰

[Mon Nov 20 21:27:46 2017] [error] [client 1.2.3.4] File does not exist: /xxxxx/image/imageurl

因為對方會換IP,所以阻擋IP似乎不是個好方法,請問這種問題除了用擋IP的方法之外,用什麼方法可以阻擋?
例如有IP 嘗試存取/xxxxx/image/imageurl 就擋掉這個IP,並且不要在error_log留下記錄。
發表於 2017-11-20 22:22:19 | 顯示全部樓層
本文章最後由 xiaolaba 於 2017-11-20 10:33 PM 編輯

http://bbs.pigoo.com/forum.php?m ... 4387&pid=779566

試試看 usr/sbin/apache/... 如果有的話.

或是用 ln -s 轉接到 NULL 丟棄.
 樓主| 發表於 2017-11-22 00:46:43 | 顯示全部樓層
xiaolaba 發表於 2017-11-20 10:22 PM
http://bbs.pigoo.com/forum.php?mod=redirect&goto=findpost&ptid=64387&pid=779566

試試看 usr/sbin/apa ...

謝謝!我再來研究其它辦法。
發表於 2017-11-22 01:31:02 | 顯示全部樓層
如果說某個ip試圖存取某個不存在的檔案時,三次後就ban ip 24小時
這樣同一 ip 在一天內增加的error log也不會太多
他想用盡所有跳板,那可會增加不少資料在裡面

能不能把某一類型的error寫到另一個獨立的log file?
發表於 2017-11-23 19:23:25 | 顯示全部樓層
fail2ban工具不錯用,只是有點小複雜。
它會一直檢查log file,只要符合設定條件,就可以用ip filter直接擋掉以後的連線

評分

1

檢視全部評分

發表於 2017-11-23 20:00:22 | 顯示全部樓層
wish 發表於 2017-11-22 12:46 AM
謝謝!我再來研究其它辦法。


老大我知道你很忙, 我幫你找了一個 fail2ban 的說明介紹:
用 Fail2Ban 防範暴力破解

評分

2

檢視全部評分

 樓主| 發表於 2017-11-23 21:44:48 | 顯示全部樓層
robotai 發表於 2017-11-23 07:23 PM
fail2ban工具不錯用,只是有點小複雜。
它會一直檢查log file,只要符合設定條件,就可以用ip filter直接擋 ...

謝謝提供好工具
 樓主| 發表於 2017-11-23 21:46:43 | 顯示全部樓層
cremaker 發表於 2017-11-23 08:00 PM
老大我知道你很忙, 我幫你找了一個 fail2ban 的說明介紹:
用 Fail2Ban 防範暴力破解 ...

謝謝你了,連說明都幫我準備好了,等升級好php 我再來研究一下
發表於 2017-11-24 01:14:22 | 顯示全部樓層
wish 發表於 2017-11-23 09:46 PM
謝謝你了,連說明都幫我準備好了,等升級好php 我再來研究一下

老大,那篇設定對APACHE 著墨不多,我另找到一篇對 appche 較詳細的資料,不過是 for UBUNTU 的版本,不過聰明如老大, 很容易了解的!

How To Protect an Apache Server with Fail2Ban on Ubuntu 14.04

評分

1

檢視全部評分

發表於 2017-11-24 09:54:34 | 顯示全部樓層
中文的比較好理解一點
http://www.vixual.net/blog/archives/252
 樓主| 發表於 2017-11-24 09:59:24 | 顯示全部樓層
cremaker 發表於 2017-11-24 01:14 AM
老大,那篇設定對APACHE 著墨不多,我另找到一篇對 appche 較詳細的資料,不過是 for UBUNTU 的版本,不 ...

謝謝!現在在測試php7x,如果順利會順便把Apache 更新版本,等這些穩定後會來研究。
發表於 2017-11-24 12:42:35 | 顯示全部樓層
W大,我的拙見是~把不存在的路徑一律route到指定的錯誤狀態,如500.1234,然後設定不要記錄500.1234這個錯誤狀態碼(使用的工具mod_rewrite)
 樓主| 發表於 2017-11-24 14:19:28 | 顯示全部樓層
chris23tw 發表於 2017-11-24 12:42 PM
W大,我的拙見是~把不存在的路徑一律route到指定的錯誤狀態,如500.1234,然後設定不要記錄500.1234這個錯 ...

你好︰
會存取這個特定目錄的IP一定是當初植入木馬的人,所以這個連線不止是要忽略,應該是不管要做什麼事都拒絕才是,不知你有什麼好方法?
發表於 2017-11-24 14:43:43 | 顯示全部樓層
W大:
一般如果有意圖來攻擊,一定是在某個地方存放了他的執行檔,然後利用大量的LOG讓管理者看都不想看~找都不想找......加上論壇本身偶爾也會有一點漏洞,所以應該是沒辦法完全拒絕,我的提議有點消極~"~
歹念:
1.如果一直找想找的檔案,應該是已經透過漏洞傳上木馬,但不確定當時檔案隨機產生時放到哪兒了
2.一直攻擊,讓論壇速度變慢、或是操APACHE到當或是找漏洞,再試圖奪取控制權

我想以上兩點。大家都會想要拒絕他~擋住他
如果~W大的廣告頁面需要人點選或是瀏覽~我建議~
消極的把他忽略......
再積極的把他的Request透過rewrite導向到廣告頁....(我不知道這樣會不會增加收益)

抱歉><小弟我提不出能拒絕的方式......只能消極的把他忽略.....(以前的經驗)
發表於 2017-11-24 14:49:21 | 顯示全部樓層
補充一下@@一般攻擊的人會利用免費的proxy list來做source,其實擋了這個IP又來另一個
我印象中論壇應該有個設定,可以利用第三方的source來做連入論壇的過濾
有點像Open DNS那樣的模式,他們會過濾一些危險的IP.....
我查詢一下論壇的功能看看有無這個功能~稍後回來補上
發表於 2017-11-24 14:54:26 | 顯示全部樓層
本文章最後由 chris23tw 於 2017-11-24 03:21 PM 編輯

能稍微提供幾個他的IP嗎?

DZ的論壇似乎找不到相關的套件

Apache上面倒是有一個
mod_spamhaus

www點spamhaus點org

可以嘗試套用這個套件來過濾一些開放式的IP
發表於 2017-11-24 15:41:54 | 顯示全部樓層
有動刀 PHP 得話, 這個或許有些啟發性 https://stackoverflow.com/questi ... -images-with-apache
發表於 2017-11-25 21:28:19 | 顯示全部樓層
設一個 .htaccess 檔,放在禁止那IP連結的目錄裡就行了!

可用關鍵字搜尋: Block IPs with .htaccess


底下是阻檔大陸IP的範例,我已刪掉一堆IP:

# Copyright c 2012 Country IP Blocks LLC
#all rights reserved. http://www.countryipblocks.net
#This list may not be redistributed in any form.
#this list includes network data on the following countries:
#CHINA
<Limit GET POST>
order allow,deny
deny from 1.0.1.0/24
deny from 1.0.2.0/23
deny from 1.0.8.0/21
deny from 1.0.32.0/19
deny from 1.1.0.0/24
deny from 121.52.224.0/19
deny from 121.54.176.0/21
deny from 121.55.0.0/18
deny from 121.56.0.0/16

allow from all
</Limit>
 樓主| 發表於 2017-11-25 21:49:42 | 顯示全部樓層
FlyNews 發表於 2017-11-25 09:28 PM
設一個 .htaccess 檔,放在禁止那IP連結的目錄裡就行了!

可用關鍵字搜尋: Block IPs with .htaccess

用擋IP的方法其實是下下策,因為對方的IP就一直換,我剛剛比對一下我的error_log檔內的IP,跟你列的這些IP區段也不相同,所以我才會請教是不是有其它妙招?
發表於 2017-11-25 22:05:59 | 顯示全部樓層
wish 發表於 2017-11-25 09:49 PM
用擋IP的方法其實是下下策,因為對方的IP就一直換,我剛剛比對一下我的error_log檔內的IP,跟你列的這些I ...

反正他抓到的也只是error,讓它抓就好了!
 樓主| 發表於 2017-11-25 22:08:21 | 顯示全部樓層
FlyNews 發表於 2017-11-25 10:05 PM
反正他抓到的也只是error,讓它抓就好了!

原本就是想不管它了,不過我就是很死腦筋想知道大家有沒有什麼妙招?
發表於 2017-11-25 22:18:34 | 顯示全部樓層
我上次在看一些防火牆的資料,有些防火牆可擋國家,這雖不太合適,一下死太多人。

老大這個問題也困擾我,一直沒時間試, 但我想到一些:

1. 從 .htaccess 下手,碰到這類懦況,忽略也不紀錄或只紀錄一次
2, 把這類錯誤導向另一個LOG 檔案, 眼不見為淨

PS: apache 的設定大件太多, 很詳細,但看起來眼都花了,時間不夠多,無奈!
 樓主| 發表於 2017-11-25 22:24:02 | 顯示全部樓層
cremaker 發表於 2017-11-25 10:18 PM
我上次在看一些防火牆的資料,有些防火牆可擋國家,這雖不太合適,一下死太多人。

老大這個問題也困擾我, ...

痞酷網的會員各行業人才眾多,我遇到不知道的問題就問大家啊!有滿意的解決方法最好,沒有的話就當做跟大家話家常咩......
發表於 2017-11-27 15:49:43 | 顯示全部樓層
默默偷學到了!

補充內容 (2017-12-4 11:18 AM):
小的任職的公司,軟體開發部門有專用的網站,我目前是用淘到的x86 軟路由(ROS)來做,蠻多規則都設定在上面,比較少設定到網站伺服..750RMB CPU 1037U
發表於 2017-11-27 17:42:34 | 顯示全部樓層
建議從防火牆來做,做L7 matching,符合的直接ban2小時
發表於 2017-11-27 17:49:47 | 顯示全部樓層
如我直言!
L7 防火牆不是人人買的起的, 應該還有更好或變通的方法!
你需要登入後才可以回覆 登入 | 立即註冊

本版積分規則

禁閉室|手機版|連繫我們|痞酷網電子技術論壇

GMT+8, 2018-10-22 12:32 AM , Processed in 0.060495 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.3 Licensed

© 2001-2017 Comsenz Inc.

快速回覆 返回頂端 返回清單