Cách chặn những kẻ tấn công tiềm năng trên máy chủ của tôi

Để giữ cho nó ngắn gọn và đơn giản, tôi sẽ đi thẳng vào vấn đề. Có vẻ như một loạt địa chỉ ip đang cố truy cập các tệp có khả năng chứa thông tin máy chủ nhạy cảm trên trang web của tôi vẫn đang trong giai đoạn phát triển do Linux và apache2 cung cấp và ngày càng nhận được nhật ký lỗi apache2 của một số IP đang cố truy cập các tệp thậm chí không thoát trên máy chủ của tôi.

Đây là một số nhật ký

[máy khách 103.153.76.212:64595] tập lệnh '/var/www/websites/example.com/xmlrpc.php' không tìm thấy hoặc không thể thống kê
[máy khách 45.146.164.110:56158] tập lệnh '/var/www/websites/example.com/index.php' không tìm thấy hoặc không thể thống kê
[máy khách 5.188.210.227:31411] tập lệnh '/var/www/websites/example.com/echo.php' không tìm thấy hoặc không thể thống kê
[máy khách 45.146.164.110:32824] tập lệnh '/var/www/websites/example.com/index.php' không tìm thấy hoặc không thể thống kê
[máy khách 128.199.2.210:55528] tập lệnh '/var/www/websites/example.com/system_api.php' không tìm thấy hoặc không thể thống kê
[client 117.50.90.31:43096] script '/var/www/websites/example.com/wp-login.php' không tìm thấy hoặc không thể thống kê
[máy khách 143.198.136.88:39108] AH01630: máy khách bị từ chối bởi cấu hình máy chủ: /var/www/websites/example.com/server-status
[máy khách 143.198.136.88:39688] tập lệnh '/var/www/websites/example.com/info.php' không tìm thấy hoặc không thể thống kê
[máy khách 45.146.164.110:34004] tập lệnh '/var/www/websites/example.com/index.php' không tìm thấy hoặc không thể thống kê

Tôi đã tắt trang web của mình với example.com nhưng bạn có được hình ảnh cộng với việc tôi đã tìm hiểu một số địa chỉ ip đó và hoàn toàn không nhận được gì mặc dù ip của tôi cho thấy là do một số ISP của Nga nợ.

Vì vậy, rõ ràng bất cứ ai đang làm điều này đang kiểm tra các lỗ hổng nhưng tôi muốn tự động chặn các ip đó. Có mô-đun Apache2, tập lệnh php hoặc python nào mà tôi có thể sử dụng để đạt được điều này không..?

Các đầu dò tự động liên tục kiểm tra các phần lớn của internet để cố gắng xác định máy chủ của bạn đang chạy gì, phần mềm nào cung cấp năng lượng cho nó và phiên bản nào.

Một số cuộc thăm dò đó dành cho mục đích nghiên cứu hợp lệ và những cuộc thăm dò khác ít lành tính hơn và là dấu hiệu báo trước cho các nỗ lực khai thác các lỗ hổng đã biết trong phần mềm.

Khi máy chủ và phần mềm của bạn được cập nhật và vá lỗi, điều đó gây phiền toái hơn là rủi ro bảo mật lớn IMHO.

Nói chung, công cụ để phát hiện các đầu dò như vậy là một âhệ thống phát hiện xâm nhậpâ hoặc IDS thường được kết hợp với một âhệ thống ngăn chặn xâm nhậpâ.

Wikipedia liệt kê một loạt các công cụ phù hợp trong mục IDS, một lựa chọn phổ biến trong trường hợp này là fail2ban

Khi hệ thống phát triển của bạn ở chế độ công khai và trực tuyến thay vì chặn "các địa chỉ IP xấu" cụ thể, cách tiếp cận phổ biến là ngược lại:

• Cái chăn "Phủ nhận tất cả" trên tất cả các địa chỉ IP
• chỉ cấp quyền truy cập vào một số lượng hạn chế cho "các địa chỉ IP tốt đã biết" hiện cần quyền truy cập.

Tìm hiểu sâu hơn về nơi hệ thống của bạn được lưu trữ có thể đạt được với

• chính sách truy cập được thực thi trong tường lửa bên ngoài và/hoặc với các nhóm bảo mật
• bằng các chính sách truy cập trên chính máy chủ:
  • tường lửa dựa trên máy chủ
  • kiểm soát truy cập cụ thể của ứng dụng, dựa trên IP và/hoặc xác thực khác, như trong Apache: https://httpd.Apache.org/docs/2.4/howto/access.html

Lưu ý rằng với cái sau, khi ứng dụng thực thi chính sách kiểm soát truy cập, thông thường những hành động đó sẽ vẫn được ghi lại và ghi lại trong tệp nhật ký ứng dụng của bạn.