आप क्या चाहते हैं Fail2ban (यह एक linux मशीन है, आप यह नहीं कहते ...)
Fail2ban क्या है?
Fail2ban सिस्टम लॉग को पार्स करेगा, विशेष नियमित अभिव्यक्तियों को ब्लॉक करने की तलाश में। जब यह एक मेल (या एक ही आईपी से कई मैचों को पाता है, तो आप इसे कैसे कॉन्फ़िगर करते हैं) के आधार पर, यह आमतौर पर IPTables के माध्यम से ब्लॉक होगा। आमतौर पर इसका उपयोग SSH या वेब सर्वर के खिलाफ विफल प्रमाणीकरण प्रयासों को ब्लॉक करने के लिए किया जाता है।
आप इसे निर्धारित समय के लिए उन्हें प्रतिबंधित करने के लिए कॉन्फ़िगर कर सकते हैं (मिनट हो सकते हैं, दिन हो सकते हैं ... यह निर्भर करता है कि वे कितने स्थिर हैं), जिसके बाद प्रतिबंध समाप्त हो जाएगा, जब तक कि वे फिर से प्रयास न करें।
यह phpmyadmin स्कैनिंग बॉट को ब्लॉक करने में कैसे मदद करता है?
यह किसी हमले के सामान्य संकेतों से मेल खाने के लिए आसानी से इस्तेमाल किया जा सकता है, जैसे कि गैर-मौजूद phpmyadmin फ़ोल्डरों तक पहुंचने की कोशिश करना। आपको इस तरह के प्रयासों से मेल खाने के लिए सही नियमित अभिव्यक्ति का पता लगाना होगा, और यह सुनिश्चित करना होगा कि आप वैध उपयोगकर्ताओं को ब्लॉक न करें।
इस ब्लॉग पोस्ट में दिए गए कॉन्फ़िगरेशन वर्बेटियम का काम कर सकते हैं या आपके सेटअप के लिए कुछ ट्विकिंग की आवश्यकता हो सकती है।
मैं उन्हें ब्लॉक क्यों करूं? 404 त्रुटियों की लागत बहुत ज्यादा नहीं है
Iptables में उन्हें ब्लॉक करने से कुछ फायदा होता है - यदि वे phpmyadmin कमजोरियों के लिए जाँच कर रहे हैं, तो वे हैं, वे कमजोरियों के लिए अन्य सेवाओं की कोशिश कर सकते हैं, जब तक कि वे कुछ ऐसा नहीं करते हैं जो काम करता है। उन्हें बैन करने से ज्यादातर बॉट्स / स्क्रिप्ट्स थोड़ी देर के बाद छोड़ देंगे, और वे बेहतर टारगेट पर आगे बढ़ेंगे।
यहां तक कि स्कैन के माध्यम से भी अधिक खर्च नहीं होता है (जब तक कि वे वास्तव में एक भेद्यता नहीं पाते हैं), वे आपके लॉग को बाढ़ कर देते हैं जिससे आपके वेब सर्वर के साथ सफल हमलों और समस्याओं को देखना मुश्किल हो जाता है।
जैसा कि नीचे टिप्पणी है, Fail2ban कुछ सिस्टम संसाधनों की आवश्यकता है। परन्तु ज्यादा नहीं। बहुत कम से कम मैं कह सकता हूं कि मुझे कभी भी प्रदर्शन की समस्या नहीं हुई जो मैं Fail2ban को विशेषता दे सकता था। हालाँकि मुझे बहुत आक्रामक लिपियों से बल युक्त पासवर्ड की कोशिश करने या अपने सर्वर पर प्रति सेकंड हजारों SQL इंजेक्शन प्रयासों और अन्य कारनामों को फेंकने के लिए प्रदर्शन की समस्या थी। फ़ायरवॉल स्तर पर उन्हें अवरुद्ध करना सर्वर / एप्लिकेशन स्तर पर उन्हें अवरुद्ध करने की तुलना में एफएआर कम संसाधन लेता है। यह IP पतों पर प्रतिबंध लगाने के लिए कस्टम स्क्रिप्ट चलाने के लिए भी बढ़ाया जा सकता है - इसलिए इन्हें IPtables में प्रतिबंधित करने के बजाय, आप संभवतः इसे हार्डवेयर फ़ायरवॉल में प्रतिबंधित कर सकते हैं, या किसी को ईमेल कर सकते हैं यदि वही व्यक्ति आपके ऊपर हमला करने का प्रयास करता है, तो आप शिकायत कर सकते हैं उनके ISP के लिए या आपके डेटासेंटर ने उन्हें अपने फायरवॉल पर ब्लॉक कर दिया है।
कोई और टिप्स?
यह अत्यधिक विश्वसनीय है कि आप कुछ आईपी पते को श्वेतसूची में रखते हैं जिन्हें आप नियंत्रित करते हैं ताकि आप गलती से अपने आप को बंद न करें।