V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ji4ozhu
V2EX  ›  Linux

防止被黑客工具扫描攻击的一个小思路

  •  
  •   ji4ozhu · 2018-04-12 01:03:54 +08:00 · 7240 次点击
    这是一个创建于 2449 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如 www.xxx.com/admin/ 这个目录是故意建出来的,因为很多扫描工具会扫描这个目录是否存在

    正常用户不会去尝试访问这个地址。

    弄个 Bash 脚本。将尝试访问这个目录的 IP 弄到 iptables 里禁止访问主机任何端口。 也算是一个小技巧。

    所以,求 Shell 脚本~

    40 条回复    2018-04-15 23:22:04 +08:00
    choury
        1
    choury  
       2018-04-12 01:36:35 +08:00 via Android
    看有没有访问直接查日志就好了啊,为啥要真建这个目录?
    ji4ozhu
        2
    ji4ozhu  
    OP
       2018-04-12 01:53:19 +08:00
    因为很多黑客工具或者黑客会 尝试访问这个目录是否存在。后台嘛
    只要访问了这个,就立刻把访问者的 Ip 加入 iptables ban 掉。
    limbo0
        3
    limbo0  
       2018-04-12 02:01:51 +08:00 via Android   ❤️ 1
    这是传说中的蜜罐吗
    ji4ozhu
        4
    ji4ozhu  
    OP
       2018-04-12 02:02:15 +08:00
    差不多一个意思
    MeteorCat
        5
    MeteorCat  
       2018-04-12 02:08:31 +08:00 via Android
    话说如果搜索引擎爬虫咋办?
    MeteorCat
        6
    MeteorCat  
       2018-04-12 02:09:30 +08:00 via Android
    对了,还有一些云服务器供应商会定期做渗透安全调查,不会连他们一起禁了吧
    wustbo
        7
    wustbo  
       2018-04-12 02:36:04 +08:00 via Android
    如果是正常用户在其他网站网页上被导向了这个目录不也会被 ban 吗?
    vegito2002
        8
    vegito2002  
       2018-04-12 02:43:37 +08:00 via iPad
    楼上两位大佬心思很细。
    Humorce
        9
    Humorce  
       2018-04-12 02:49:18 +08:00 via iPhone   ❤️ 6
    在这个页面放入挖矿 js
    zur13l
        10
    zur13l  
       2018-04-12 03:26:50 +08:00
    还要考虑到 google robot 的问题
    zur13l
        11
    zur13l  
       2018-04-12 03:41:55 +08:00   ❤️ 2
    实际情况中好多安全问题并不是出在被黑客扫描出来的敏感文件上面,而是用户正常使用的功能中出现的安全隐患。
    如果单纯吧 IP 封了换个 IP 就是,很少有中二的人发现被封了,换个 IP 继续扫目录继续被封吧,换个其他方式继续渗透就是。

    所以感觉思路不错,但是收益不高,反而遇到各种麻烦。
    为何不直接吧敏感文件删了或者设置权限,从根本上杜绝铭感信息泄露问题。
    shiji
        12
    shiji  
       2018-04-12 08:05:56 +08:00   ❤️ 3
    <img src="/admin/"> 像是论坛博客留言之类的把这个插进去就能广泛 DoS 了
    DevNet
        13
    DevNet  
       2018-04-12 08:42:37 +08:00 via Android   ❤️ 1
    从路由层面来说,这个很容易被当成是另一个拒绝服务攻击的入口。毕竟数据包在互联网路由的时候是不检查源地址的,只看目的下一跳,源 ip 随便写。
    ThirdFlame
        14
    ThirdFlame  
       2018-04-12 08:49:31 +08:00
    admin 下 放一个 php 修改根目录下的.htaccess 把 IP 加到 deny 里面。不过小心别写挂了,把站玩死了。
    SakuraKuma
        15
    SakuraKuma  
       2018-04-12 09:15:13 +08:00
    .....
    fail2ban 了解一下。
    Antidictator
        16
    Antidictator  
       2018-04-12 09:18:51 +08:00
    @zur13l #11 可能是要恶心别人一样。。23333333
    Jakesoft
        17
    Jakesoft  
       2018-04-12 09:19:27 +08:00 via iPhone
    @ThirdFlame 不是所有的网站都用 php,不是所有的网站都用 apache,不是所有网站都有 admin 这个文件夹( path rewrite 了解下?)
    Clarencep
        18
    Clarencep  
       2018-04-12 09:23:43 +08:00
    话说现在很多 IP 都是很多人共用的,LZ 这样做很容易导致正常用户也无法访问吧
    xfspace
        19
    xfspace  
       2018-04-12 09:26:37 +08:00 via Android
    error_page 404 403 =200;

    error_page 了解一下
    Eugene1024
        20
    Eugene1024  
       2018-04-12 09:34:05 +08:00
    局域网
    R18
        21
    R18  
       2018-04-12 09:34:23 +08:00 via Android   ❤️ 6
    我在 admin 做了一个假的登录页,他们随便试,能登录进去算我输
    king2014
        22
    king2014  
       2018-04-12 09:48:30 +08:00
    没那么简单.很容易误封爬虫 ip
    qsnow6
        23
    qsnow6  
       2018-04-12 10:07:53 +08:00
    @R18 6
    dd0754
        24
    dd0754  
       2018-04-12 10:12:56 +08:00
    @R18 陈独秀都没你秀
    est
        25
    est  
       2018-04-12 10:13:04 +08:00
    检测登录密码是否来自网上几个著名密码本,如果是的话,身份验证直接无条件通过,但是返回的都是随机数据。23333
    dibage
        26
    dibage  
       2018-04-12 10:13:41 +08:00
    lz 知道钓鱼吗?
    直接弄个控件表单登陆,你下我 exe 才能输入,哈哈哈
    yu1u
        27
    yu1u  
       2018-04-12 10:14:45 +08:00 via iPhone
    楼上的思维果然奇葩,你们认为做这些就能阻挡黑客?
    silencefent
        28
    silencefent  
       2018-04-12 10:30:49 +08:00   ❤️ 1
    <img src="http://ww1.xxx.cn/admin/7a6a377fgy1fq9o07cq6nj21b80u0go3.jpg"/>
    直接把这个发这里你会不会 ban 掉所有看到这个页面的人
    old9
        29
    old9  
       2018-04-12 11:39:05 +08:00
    fail2ban 不就是干这个事情的么
    locoz
        30
    locoz  
       2018-04-12 11:50:48 +08:00 via Android
    不要用 xxx.com 做例子🙄
    MeteorCat
        31
    MeteorCat  
       2018-04-12 11:53:15 +08:00 via Android
    @R18 这太秀了
    clino
        32
    clino  
       2018-04-12 11:58:45 +08:00 via Android
    我一般是做一个 default website,这样用 ip 访问的一律用 fail2ban 封掉
    MeteorCat
        33
    MeteorCat  
       2018-04-12 11:59:50 +08:00 via Android   ❤️ 1
    @R18 对了 我有一个思路,按照你这种方式做一个伪造的登录页面记录他们的密码社工库,假设如果你有个 V2 帐号 gay_man,密码是 gay_man ;给他一个帐号 gay_man 的蜜罐让他帮我社工库匹配密码,如果他能够破解出来就说明这个 gay_man 的 V2 帐号密码已经被人社工破解过了,需要赶紧把对应论坛账户全部修改,这种无形当中就相当于把别人破解行为变为检验自己帐号行为,就是不知道有什么坑
    udev
        34
    udev  
       2018-04-12 13:04:09 +08:00
    都有现成的,这些东西,骗密码的假社工库!
    DevNet
        35
    DevNet  
       2018-04-12 15:10:51 +08:00
    @locoz #30 在办公室点开了 0.0,我现在有点方
    limitsy
        36
    limitsy  
       2018-04-12 17:02:57 +08:00
    卧槽。我点进去了。在办公室。换个例子可好?
    Inod
        37
    Inod  
       2018-04-12 22:19:57 +08:00
    例子是得换一下。。。。
    qfdk
        38
    qfdk  
       2018-04-13 01:38:20 +08:00 via iPhone
    @R18 #21 还是放个 js 挖矿靠谱
    findex
        39
    findex  
       2018-04-14 02:02:42 +08:00
    fail2ban 在规则设置里面可以加入自定义脚本。了解一下。但是 /admin 这个有点牵强了,不一定都是 cracker 才会过来的,还是得写例如一秒内访问超过 2 次等情况判断。
    Hardrain
        40
    Hardrain  
       2018-04-15 23:22:04 +08:00
    @MeteorCat robots.txt 里面的 deny

    正好把不守规矩的 Spider 也干掉(如 YisouSpider)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3088 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 13:23 · PVG 21:23 · LAX 05:23 · JFK 08:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.