Witam serdecznie,

Przyszła pora na zaawansowane rzeczy - logi serwera

[PHP] pobierz, plaintext 
 
[error] [client 182.18.170.232] Directory index forbidden by Options directive: /home/xxxxxxxxxx/ftp/
[error] [client 66.249.72.6] File does not exist: /home/xxxxxxxxxx/ftp/katalog/ayjnditd.html
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/xampp
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/web
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/php-my-admin
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/websql
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpmyadmin
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/php-my-admin
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.2.3
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.2.6
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.1
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.4
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.5-rc1
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.5-rc2
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.5
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.5-pl1
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.6-rc1
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.6-rc2
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.6
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.7
[error] [client 180.210.58.51] File does not exist: /home/xxxxxxxx/ftp/phpMyAdmin-2.5.7-pl1
 
[PHP] pobierz, plaintext 

Dobrze rozumiem, że to roboty włamywaczy szukają wejścia na serwer?
Jak się przed nimi bronić?
Dodawać za każdym razem IP do htaccess?
A może jest jakaś baza takich podejrzanych ip?

Dzięki za pomoc

Po wpisaniu IP do okienka adresu trafiamy na stronę z koreańskimi krzaczkami.

Zrób sobie inny myk. Zapewne wiesz jaki adres lub jaka pula adresowa ma uprawnienia administracyjne. Tylko tym zezwól na użytkowanie określonych skryptów. Reszta przy wywołaniu tychże niech od razu ma deny i masz problem z głowy.

Bardzo dziękuję za odpowiedzi.

Nie mam takich katalogów na serwerze.
Dziś mam kolejne dwa IP, które robią dokładnie to samo...

Dodawać je każdorazowo do .htaccess, czy zostawić, bo to zapewne walka z wiatrakami?

Myślałem, że może da radę załatwić takiego robota jakoś inaczej, albo dodać te adresy IP do jakiejs bazy ogólnej bazy
Istnieje jakiś zbiór złych IP?

Raczej to jest walka z wiatrakami, bo równie dobrze to może być jakiś zainfekowany komputer, który należy do jakiegoś botnetu i zwyczajnie szuka jakichś dziur przez które mógłby się włamać. Więc takich adresów IP co każdego dnia ci się próbują włamać, może być sporo, i nawet każdego dnia inny.

Blokowanie niewiele pomaga, a może zaszkodzić. Swego czasu zrobiłem u siebie skrypt który nie wpuszczał adresów IP z puli, ale zwalniał je np. po dwóch dniach, efekt tego był taki że adresy które zostały wcześniej zablokowane i zwolnione po tym czasie, znikały jedynie na ok tydzień, jednak w ich miejsce i tak pojawiały się bliźniacze.

W zależności od aplikacji, panel, skrypty działają w oparciu o ACL z IP osób które mają mieć do nich dostęp. Pół biedy jak masz stałe IP, gorzej ze zmiennym... ale wtedy może załatwiać to skryptem w pythonie który wyśle dane IP na serwer gdy zostanie ono zmienione.

Zobacz co napisałem wcześniej... Nie rób blacklisty, ale white listę. Wszystko ma deny na starcie, a dozwolone sa jedynie określone ip lub określony zakres adresów.

Tak, rozumiem, raz jescze dziekuję.

Pozwolę sobie zadać jeszcze dwa pytania.

Oni szukają tylko w głównym katalogu serwera.

1. Jak ich wywalać "z automatu" z głównego katalogu serwera, ale tak by strony, które są w podkatalogach normalnie chodziły.
2. Jak zablokowac wszystkie IP poza polskimi?

Moze dodam, że serwer mam na n-a-z-w-a.pl

Bardzo dziekuję raz jeszcze

Możesz zrobić tak że katalogi/pliki które nie istnieją, przekierować do skryptu php. W tym skrypcie zapisać do jakichś logów - powiedzmy bazy danych, zapisać takie dane jakie są w logach: adres url, adres ip, data itp. sprawdzasz podczas dodawania takiego "loga", czy taki adres już istnieje oraz ile razy się powtórzył, biorąc pod uwagę wpisy z ostatnich 12 godzin. Załóżmy że przy 5 takich wpisach, w przeciągu ostatnich 12 godzin, twój skrypt w php dodawał by do innej tabeli adres IP który zostałby zablokowany, wraz z czasem do kiedy - załóżmy że na 12 godzin. Wtedy jak już masz w bazie taką listę adresów, ten sam skrypt który dodaje taki adres do listy, na samym końcu może nadpisywać plik htaccess w którym byłaby lista adresów IP która dostała blokadę na te 12 godzin - deny from.

Aczkolwiek nie jest to rozwiązanie idealne, w przypadku kiedy jakiś plik usuniesz, powiedzmy grafikę, css dalej będzie się odwoływać do tej grafiki i sam możesz nawet siebie zbanować na 12 godzin..