我收到日志通知的活动,如用户试图访问/js/cache/'+opts.iframeSrc+'和其他可疑的看起来失败的Javascript和MYSQL注入。 但是,这些似乎来自每天都在变化的IP地址。 (也许代理或只是一个不同的连接。)
我该如何处理? 有没有办法,我可以将它们添加到Apache黑白名单24小时,或者什么? IP地址一直在改变,所以我不希望有一个庞大的IP列表,可能在某些时候属于潜在的访问者。
看看Fail2ban并设置bantime = 86400 (24小时)。
如果你使用iptables,你可以通过以下途径取消IP:
iptables -D fail2ban-apache -s IP -j DROP
mod_security是一种可以用来阻止访问的不同方法。 是一个完全不同的方法,因为它将从Apache应用,但它会保护你免受未知和意外的攻击。
您可以随时安装http://www.ossec.net/ ,即使在默认configuration下,您也可以获得各种“反黑客”保护机制! 它临时禁止ips,你可以添加额外的configuration,所有的多个服务。
如果你想要简单的东西, 看看fail2ban或sshguard。
sshguard可以说是更好的,因为它不使用Python,名称是一个误用的东西; 它不仅仅是保护SSH。 – http://www.sshguard.net/