我希望有人能帮助我们减轻持续的攻击。 我们使用Opencart。 我们有几台服务器,每台都安装了十几台服务器。 最近有一个Python脚本发布,可以密码攻击Opencartpipe理员。 它直接点击pipe理页面,从我能从代码中得出的结果是通过检查cookie来识别它已经成功。 我们的大部分领域正在遭受打击。
Opencart在login失败时提供了一个HTTP / 1.1“200,用户代理总是不同的,IP正在循环,我们也看到了来自CloudFlare IP地址的攻击,攻击很慢,所以不会影响我已经尝试了各种Mod安全规则,但我没有任何运气,因为我不知道我在做什么,我试图修改广泛使用的WordPress的密码攻击规则,但没有,我认为攻击脚本可能会有几种变化,因为有两种types的日志
163.172.22.148 - - [21/Sep/2017:15:49:06 +0100] "POST /admin/index.php HTTP/1.1" 200 3826 "-" "python-requests/2.11.1" 和
45.77.89.33 - - [22/Sep/2017:01:51:29 +0100] "POST /admin/index.php? route=common/login HTTP/1.1" 200 3926 "http://www.example.co.uk/admin/index.php" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/534.16.69 (KHTML, like Gecko) Version/4.6.2 Safari/533.24"
这是我到目前为止对Mod Security的,但他们没有抓住任何东西,所以他们显然是不正确的。
SecRule REQUEST_HEADERS:User-Agent "python-requests/2.9.1" "id:10000002,rev:1,severity:2,nolog,msg:'Python'" <LocationMatch "="" admin="" index.php"=""> SecAction "phase:2,chain,log,id:5001022" SecRule REQUEST_METHOD "^POST$" "chain" SecRule ARGS_POST_NAMES "^username$" "chain" SecRule ARGS_POST_NAMES "^password$" "chain" SecAction "setvar:ip.request_count=+1,expirevar:ip.request_count=% {TX.requests_ttl}" SecRule IP:request_count "@ge %{TX.max_requests}" "phase:2,drop,setvar:ip.blocked=1,expirevar:ip.blocked=% {TX.block_ttl},log,msg:'Blocked for %{TX.block_ttl} sec',id:5001023" </LocationMatch> SecRule REQUEST_HEADERS:User-Agent "@pmFromFile /usr/local/apache/conf/badbots.txt" "id:350001,rev:1,severity:2,nolog,msg:'BAD BOT - Detected and Blocked. '" SecRule REQUEST_HEADERS:User-Agent "python-requests/2.11.1" "nolog,drop,id:2002002"
如果有人有一些想法,将不胜感激预先感谢