プロキシを使用して、提供しているWebサイトを攻撃しているスクリプト作成者がいます。
私は、彼らが特定の共通のユーザーエージェント文字列を使用してソフトウェアを経由してサイトにアクセスする傾向があることに気付きました(すなわちhttp://www.itsecteam.com/en/projects/project1_page2.htmのuser_agent文字列で「Havijは、SQLインジェクションのソフトウェアを進めました」のMozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij)。ソルトに値するクラッキングソフトウェアはユーザーエージェント文字列を変更できる可能性があることは承知していますが、スクリプト作成者がいつかその機能を処理する必要があるので問題ありません。
では、ユーザーエージェント文字列を照合してアクセスを自動的にブロックし、恒久的にブラックリストに登録するソフトウェアはありますか?
回答:
BrowserMatchによるアクセスを拒否し、SetEnvIfから拒否できます。例:
SetEnvIfNoCase User-Agent "^Wget" bad_bot
SetEnvIfNoCase User-Agent "^EmailSiphon" bad_bot
SetEnvIfNoCase User-Agent "^EmailWolf" bad_bot
<Directory "/var/www">
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Directory>
それらを恒久的にブロックするには、カスタムログファイルを作成し、fail2banを使用して、たとえばiptablesでそれらを禁止する必要があります。
たとえば、LogFormatを作成します。
LogFormat "%a %{User-agent}i" ipagent
vhost / server-wideにロギングを追加します
CustomLog /var/log/apache2/useragent.log ipagent
/etc/fail2ban/filter.d/baduseragent.conf
[Definition]
failregex = ^<HOST> Mozilla/4\.0 \(compatible; MSIE 7\.0; Windows NT 5\.1; SV1; \.NET CLR 2\.0\.50727\) Havij$
/etc/fail2ban/jail.conf
[apache-bad-user-agent]
enabled = true
port = 80,443
protocol = tcp
filter = baduseragent
maxretry = 1
bantime = 86400
logpath = /var/log/apache2/useragent.log
私はあなたの質問を理解したと思います。これがあなたが探しているものであるならば、私はより詳細な説明を提供します。(これは他のもののトラップとしても機能します)
RewriteMap badlist txt:~/bad_useragent_listRewriteCond %{HTTP_USER_AGENT} .* [NC]RewriteCond ${badlist:%1|white} ^black$ [NC]RewriteRule (.*) "/trap.php" [L]