Попытки пентеста веб-сайта

[lexxcode]

Здравствуйте, господа и дамы.

 

Назрел у меня вопрос к более продвинутым ребятам в бэкенде.

Я держу свой маленький сайтик с портфолио на vps. Все собственно ручно установленно и настроенно, OS, nginx, php-fpm, права доступа и т.д. и т.п. Все работает как нужно мне, все норм.

 

Единственная проблема(?) с довольно стабильной регулярностью с разных IP пытаются нащупать дыру в системе через запросы к веб-серверу (да кому я нужен?). Пытаются найти phpmyadmin и ему подобные, тестируют на присутствие различных популярных cms, пытаются обращаться ко всяким cgi-скриптам(оспаде у меня их там отродясь не было), просто присылают разного рода запросы нечитабельного содержимого. В итоге в логах фиксируется 10-100 попыток что-то найти, сревер, естественно, отправляет 404 или 500 в ответ. Тест явно обламывается и больше не появляется, по крайней мере с этого IP, с других только потом.

 

Собственно вопрос, что с этим делать и нужно ли делать вообще? Есть ли смысл вообще с этим как-то бороться, хотя бы как со спамом? т.к. результата они все равно не получают, пока что, по крайней мере

 

Благодарю за любые мысли, идеи и погружения меня в бэкенд-нубики

[Vlad]

На сервере есть ещё другие сайты кроме твоего? Обычно это типовая попытка через уязвимость на одном сайте выйти на другие. Тут дело даже не в прямом злодействе, а потому как вредоносный скрипт такой. У меня пачками так взламывали сайты на WordPress.

[ShumNo]

Друпал сайты в админке ведут урезанный учет запросов, которые попадают к движку и они не с 200 ответом
сканируют почти каждый день, сканируют годами. Ничего давно не делаю - это бессмысленно. Что-то беспокоит только когда кол-во запросов переваливает за 10-100к за сутки.

Были мысли на заре когда я все это увидел блокировать ip на ..цать минут при запросе чего-то стандартного вроде определения cms
/files/filebox/File/fileUpload.Html такого или
/manage/fckeditor/editor/filemanager/connectors/uploadtest.html
/control/editor/filemanager/connectors/uploadtest.html

и т.д то есть это скрипты которые ищут уязвимые компоненты

Так же периодически брутят пытаясь подобрать нужную комбинацию пароль/логин. Благо на друпал сайта у меня стоит лимит на кол-во попыток. как раз сегодня одного и поймало Banned IP address 212.252.119.171 due to security configuration.

 

 

единственное что меня напрягает это слишком заумные запросы - если я их вижу то система отдала 404 и записала в журнал, а если я их не увижу то может быть плохо

[lexxcode]

На сервере есть ещё другие сайты кроме твоего? Обычно это типовая попытка через уязвимость на одном сайте выйти на другие. Тут дело даже не в прямом злодействе, а потому как вредоносный скрипт такой. У меня пачками так взламывали сайты на WordPress.

На сервере один сайт мой написан на фреймворке

 

Были мысли на заре когда я все это увидел блокировать ip на ..цать минут при запросе чего-то стандартного вроде определения cms

 

Ну вот я тоже думал над чем-то подобным, только на уровне nginx сделать. Поступил непотребный запрос - бан на 30 минут, рецедив - бан на сутки - неделю. Раз в неделю Сбрасывать счетчик на ступень ниже. Но каких-то готовых решений я не нашел, правда возможно недостаточно искал

[wwt]

блокировать IP во многих случаях бесполезно. Большинство таких атак проводят не живые люди, а боты и вредоносное ПО.  Всяческие черви заражают не только клиентские машины, но и зачастую, когда с такой зараженной машины заходят на какой-либо сайт, червь пытается заразить и сервер на котором находится ресурс используя известные уязвимости движков и ПО сервера.

Обрати внимание в логах с какой переодичностью происходят запросы с одного IP. если много запросов за очень маленькое время, то можно ограничить количество запросов с одного IP в nginx. Это будет уже что-то.

[lexxcode]

Обрати внимание в логах с какой переодичностью происходят запросы с одного IP. если много запросов за очень маленькое время, то можно ограничить количество запросов с одного IP в nginx. Это будет уже что-то.

Да обычно за короткий промежуток времени подряд приходит пачка запросов с одного ip, все обламываются и больше с этого ip не приходят