私のサーバーは最近、PHPMyAdminを探しているHTTPリクエストの調査のために一時的な洪水を経験しました。彼らは異なるIPから来て、直列に接続されています。つまり、数秒以内に同じIPから一連のURLの要求をたくさん受け取りました。強度は毎秒10要求で急増します。以下はURLリストの例です。
/mysql/web/
/mysql/pMA/
/sql/phpmanager/
/sql/php-myadmin/
/sql/phpmy-admin/
/sql/sql/
/sql/myadmin/
/sql/webadmin/
/sql/sqlweb/
/sql/websql/
/sql/webdb/
/sql/sqladmin/
/sql/sql-admin/
/sql/phpmyadmin2/
/sql/phpMyAdmin2/
/sql/phpMyAdmin/
/db/myadmin/
/db/webadmin/
/db/dbweb/
/db/websql/
/db/webdb/
/db/dbadmin/
/db/db-admin/
/db/phpmyadmin3/
/db/phpMyAdmin3/
/db/phpMyAdmin-3/
/administrator/phpmyadmin/
/administrator/phpMyAdmin/
/administrator/db/
/administrator/web/
/administrator/pma/
/administrator/PMA/
/administrator/admin/
/phpMyAdmin2/
/phpMyAdmin3/
/phpMyAdmin4/
/phpMyAdmin-3/
/php-my-admin/
/PMA2011/
/PMA2012/
/PMA2013/
/PMA2014/
/PMA2015/
/PMA2016/
/PMA2017/
/PMA2018/
/pma2011/
/pma2012/
/pma2013/
/pma2014/
/pma2015/
/pma2016/
/pma2017/
/pma2018/
/phpmyadmin2011/
/phpmyadmin2012/
/phpmyadmin2013/
/phpmyadmin2014/
/phpmyadmin2015/
/phpmyadmin2016/
/phpmyadmin2017/
/phpmyadmin2018/
/phpmanager/
このリストはIPごとに異なる場合があります。問題は、これらの攻撃を毎秒1つの要求で効果的に抑制する方法です。可能であれば、間違ったURLが3つ以上ある場合は、1分間IPをブロックしてください。私はPHPMyAdminや他のHTTPベースのデータベースインタフェースを使用しません。しかし、私はそのドアを開いたままにしたり、後で簡単に開くことができることを好みます。
解決策として、Apache 2レベルでリクエストをブロックする方法を考えてみましたが、遅すぎて間違っているようです。またはApacheの下のNetfilterレベルで。私はUFWを使用しており、IPTableを直接操作する代わりにUFWを使い続けたいと思います。その後、UFWはどのような要求が大丈夫かどうかどうかを知る必要があります。それでは、Apacheのブリッジが必要ですか?
通常、この質問はLinux + Apache環境でHTTPリクエストをスニッフィングする問題に対する解決策に答えます。