phpMyAdminをターゲットとするハッキングの試みをブロックするにはどうすればよいですか？

私のウェブサイトは、アクセスしようとするさまざまなIPから毎日何千ものヒットを取得しています。

/php-myadmin/
/myadmin/
/mysql/

...および他の何千ものバリエーション。これらのディレクトリは存在せず、サーバーにphpmyadminもありません。

これらの試みはいずれも成功したとは思いませんが、サーバーのリソースを犠牲にして帯域幅を浪費しているに違いないので、可能であれば停止したいと思います。これらのIPの一部をブロックしましたが、新しいIPで戻ってきますが、これをより永続的に防ぐ方法はありますか？

心配しないでください。404を提供することは、Webサーバーが行うためのごくわずかな作業です。486を使用すると、1秒間に10個の404を提供できます。404あたりの帯域幅はごくわずかです。小さなGETリクエストと小さな404レスポンス。

真剣に。心配しないでください。これは、インターネット上でサーバーを実行することの一部に過ぎません。

残念ながら、これがインターネットの仕組みです。無視してください。何千ものボット/トロイの木馬がインターネットをスキャンします。送信元IPは常にランダムです。治療法はありません。

そのトラフィックを排除するための唯一の100％ソリューションを以下に示します。

代替手段は次のとおりです。
-https / httpを使用してポート80/443から別の場所に移動する。ボットは通常、他のすべての65kポートでhttpサーバーを探しません。
-VPNを使用してサーバーに接続します（公開Webサイトをホストしている場合、これは不可能だと思います）。

あなたが望むのはFail2banです（これがLinuxマシンであると仮定すると、あなたは言いませんでした...）

Fail2banとは何ですか？

Fail2banはシステムログを解析し、ブロックする特定の正規表現を探します。一致（または構成方法に応じて同じIPからの複数の一致）が見つかると、通常はIPTablesを介してブロックします。通常、これはSSHまたはWebサーバーに対する失敗した認証試行をブロックするために使用されます。

一定の時間（数分、数日、それらがどれだけ持続するかに依存します）それらを禁止するように設定し、その後再試行しない限り禁止が期限切れになります。

これは、ボットをスキャンするphpmyadminをブロックするのにどのように役立ちますか？

これは、存在しないphpmyadminフォルダーにアクセスしようとするなど、攻撃の一般的な兆候と一致させるために簡単に使用できます。そのような試みに一致する正しい正規表現を見つけ出し、正当なユーザーをブロックしないようにする必要があります。

このブログ投稿で与えられた設定は、逐語的に機能するか、セットアップに多少の調整が必要な場合があります。

なぜブロックする必要があるのですか？404エラーはそれほど費用がかかりません

iptablesでそれらをブロックすることにはいくらかの用途があります-可能性は、phpmyadminの脆弱性をチェックしている場合、機能する何かを見つけるまで、他のサービスの脆弱性を試すことです。それらを禁止すると、ほとんどのボット/スクリプトはしばらくしてあきらめ、より良いターゲットに移動します。

スキャンの費用はそれほどかかりませんが（実際に脆弱性が見つかった場合を除き）、ログがあふれ、Webサーバーでの攻撃や問題の発見が困難になります。

以下のコメントにあるように、Fail2banにはいくつかのシステムリソースが必要です。しかし、それほどではありません。少なくとも、Fail2banに起因するパフォーマンスの問題は一度もなかったと言えます。しかし、パスワードをブルートフォースしようとする非常に攻撃的なスクリプトや、サーバーで1秒間に何千ものSQLインジェクション試行やその他のエクスプロイトを投げることにより、パフォーマンスの問題が発生しました。それらをファイアウォールレベルでブロックすると、サーバー/アプリケーションレベルでブロックするよりもはるかに少ないリソースで済みます。また、カスタムスクリプトを実行してIPアドレスを禁止するように拡張することもできます。そのため、IPtablesで禁止する代わりに、ハードウェアファイアウォールで禁止したり、同じ人があなたを攻撃しようとしている場合に誰かにメールを送って文句を言うことができますISPに送信するか、ファイアウォールでデータセンターをブロックします。

他のヒントはありますか？

誤って自分がロックアウトされないように、管理するいくつかのIPアドレスをホワイトリストに登録することを強くお勧めします。

私がしているのは、適切なディレクトリに小さなスクリプトを入れて、誰かが/ phpmyadmin /にアクセスしたときに実行されるようにすることです。このスクリプトは、iptables（Linuxの場合）を呼び出すだけで、スクリプトにアクセスするIPアドレスを30分間ブロックします（その後、cronジョブはIPアドレスが追加されるiptablesチェーンをフラッシュします）。

fail2banを超える利点は、syslog / access-logの解析にリソースを使用しないことです。欠点は、もちろん、この非常に特定のアドレスにアクセスする場合を除いて、他に何もチェックしないことです。

なぜこれを行うのですか？確かに、404を提供することはサーバーにとって簡単ですが、私は彼らがそれを簡単にいじって欲しくありません。サーバーが応答するのを待って、ツールの時間を無駄に使いたいと思います。さらに、それらをブロックしない場合、最終的に先に進む前に、多くの異なるURLを試します-時には1000を超えることもあります。ツールによっては、数時間で「すてき」でスペースが空く場合もあれば、数分以内にすべてのサーバーを気にせずにサーバーを叩いてしまう場合もあります。

有効なページを提供しないのはなぜですか？彼らのツールはあなたのスキャンを停止し、それを実行しているスキッドに警告するかもしれません-誰が手動でチェックアウトする必要があります。これの裏返しは、彼らのスキャンがあなたの結果に現れなかった場合、彼らが持っているよりもあなたのサーバーをはるかによく見せるということです。たぶん、彼らはもう少し、おそらく数回のポートスキャンをあちこち探して、あなたはそれらを怒って、彼らは何かをすることができるかどうかを確認するためにDoSを起動するでしょう。単にそれらをブロックすること-観点からすると、phpmyadminスクリプトにアクセスした瞬間にサーバーがタイムアウトする-は、不要な注意を避けながら、ツールの時間を浪費するのに効果的です。

サーバー上にphpMyAdminがある場合、効果的な解決策は、それを別のディレクトリに配置し、Webサーバーのパスワード制御（Apacheの場合は.htpasswd）を使用して、何かに到達する前にアクセスをブロックすることです。

FWIWでは、/ phpmyadmin /へのアクセスをホワイトリストに登録されたIPアドレスのみに制限しています。

また、mod_evasive（apache2）を使用して、DOS /動作不良のスクリプト攻撃を阻止します。

mysql adminツールをマシンのループバックアドレス127.0.0.1にバインドします

次に、ポート転送を使用してsshを使用し、管理バックエンドにアクセスします。

セキュリティのレイヤーを追加します。これは非常に透過的です。

私たちが見つけた最良の方法は、phpmyadminがあるフォルダーをパスワードで保護することです。また、phpmyadminに関連するものをフォルダー名として使用しないでください：pma、phpmyなど...