.htaccess трюки, чтобы возиться с нежелательными посетителями

Question

Глядя на мои журналы ошибок сервера, я вижу много попыток с IP-адресов в Китае, Таиланде, а также что вы пытаетесь получить доступ к несуществующим каталогам, называемым «менеджер», «phpmyadmin», «admin», все в cgi-bin и тому подобное. Есть несколько лишних повторных запросов на что-то, называемое «w00tw00t.at.blackhats.romanian.anti-sec:» и «HNAP1».

Я думал о том, как написать правило .htaccess, чтобы перенаправить запрос обратно на запрашивающий IP-адрес, но задавался вопросом, есть ли другие неприятные трюки, которые могут помешать этим грязям, учитывая, что те же 4 или 5 несуществующие каталоги всегда пытаются.

Обновление: Следуя предложению «Майкл - sqlbot» ниже, я попытался настроить mod_security на моем сервере как tarpit. Я установил его как можно точнее и настроил его, но хотя я могу проверить, что он компилирует мой сценарий конфигурации (проверяется путем введения синтаксической ошибки и перезапуска httpd), похоже, что игнорирует нежелательные попытки доступа.

Вот что я имею в /etc/httpd/modsecurity.d/activated_rules/tarpit.conf

<IfModule mod_security2.c> 
    SecRuleEngine On 
    SecDefaultAction log,allow,status:406,phase:2 
    SecRule REQUEST_URI phpmyadmin t:lowercase,id:14142,pause:5000,log,noauditlog,status:402,deny 

    SecDebugLog /var/log/httpd/modsec_debug.log 
    SecDebugLogLevel 0 
</IfModule> 

Файл modsec_debug.log создается изначально, но всегда пустой. Запрос mydomain.com/phpmyadmin просто возвращает обычную ошибку 403, как будто mod_security не существует. (Я не уверен, почему я получаю ошибку 403, возможно, это связано с старой символической ссылкой, которую я имел в директорию phpmyadmin, которая долгое время не была там).

Answer 1

Вы, вероятно, не проверяетесь живым человеком, поэтому нет смысла пытаться дать им что-то, на что можно взглянуть. Вероятно, вы сканируете скрипты, которые просто игнорируют любой ответ, который не согласуется с уязвимостью, которую они сканируют.

Перед моими серверами у меня есть «haproxy», у которого есть возможность «tarpit» ... когда приходит запрос, соответствующий подозрительному/раздражающему шаблону, он получает «tarpitted» - после задержки нескольких (настраиваемые) секунды, ответ «500 Internal Server Error» и соединение закрывается.

Для меня самой приятной частью является задержка. Они, очевидно, пытаются сканировать как можно больше хостов, насколько это возможно, поэтому хорошая длительная задержка тратит свое время. Боковой бонус, запрос не попадает в журнал apache, так как он никогда не перенаправляется на apache, и, очевидно, haproxy способен обслуживать эти запросы с очень небольшими накладными расходами.

По-видимому, это можно сделать с помощью apache, хотя я не пробовал. Вот один из подходов, который я нашел в Google для «apache» и «tarpit».

http://edvoncken.net/2010/08/annoyed-by-phpmyadmin-scans-set-up-a-tarpit-with-mod_security/

Было бы забавно, если бы это было возможно, чтобы отправить их редирект, что бы заставить их атаковать цель правоохранительных органов, который был специально созданный для этой цели, но мало того, что, вовлекая треть сторона в вашей схеме отклонения без их согласия является этически сомнительной.