Блокировка HTTP-сканеров

0

1

В логах nginx есть вот такие запросы. Их много, они разные, но в основном нацелены на WordPress.

GET /wp/wp-includes/wlwmanifest.xml
GET / HTTP/1.1\x5Cr\x5Cn
GET /dispatch.asp
GET /config/getuser?index=0
GET /boaform/admin/formLogin?username=ec8&psd=ec8

Стоит ли их блокировать? Если стоит, то как? Очень мало информации по данному вопросу. Возможно, я задаю не те вопросы.

Ссылка

←	сенсор ip_netflow на два коллектора

nobootwait при загрузке

→

Стоит ли их блокировать?

Да, если больше нечем заняться. Если запросов так много что они создают значимую нагрузку — вруби рейтлимит. Если боишься что сканеры могут найти что-то что находить не положено (вроде незапароленой админки или уязвимости) то лучше займись устранением первопричины

MrClon ★★★★★
(29.01.22 14:30:38 MSK)

"GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) Project-Resonance (http://project-resonance.com/) (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"

Ещё вот такие запросы есть. Они надеются, что я зайду на их сайт, увидев ссылку в логах? В чем смысл?

o_--
(29.01.22 14:30:44 MSK) автор топика

Ответ на: комментарий от MrClon 29.01.22 14:30:38 MSK

То есть, ответ отрицательный, не стоит. Нагрузку не создают. Если будут создавать, то это уже DOS. Это другое.

o_--
(29.01.22 14:33:04 MSK) автор топика

Honeypot им подкинь. Пущай думают, что у тебя дырявый вордпресс.

~~cocucka~~ ★★★★☆
(29.01.22 14:34:34 MSK)

Ответ на: комментарий от o_-- 29.01.22 14:30:44 MSK

Похоже на каких-то исследователей.

Project Resonance is an effort to improve security of the Publicly Exposed Assets through study of the services and applications running on these assets followed by a deep analysis and data correlation.
https://project-resonance.com/

urxvt ★★★★★
(29.01.22 14:36:19 MSK)

Ответ на: комментарий от cocucka 29.01.22 14:34:34 MSK

Зачем на это ресурсы тратить? Лучше пакеты просто дропать. Но кроме Fail2Ban я ничего не нашёл.

o_--
(29.01.22 14:37:10 MSK) автор топика

Ответ на: комментарий от o_-- 29.01.22 14:30:44 MSK

Они надеются, что я зайду на их сайт, увидев ссылку в логах? В чем смысл?

А ты зайди. Есть что почитать

IIIypuk ★★★★
(29.01.22 14:38:22 MSK)

Ссылка

Ответ на: комментарий от o_-- 29.01.22 14:33:04 MSK

Ну может тебе очень скучно, или хочется поупражняться в кодинге, или ещё что. Я иногда вручную баню некоторых ботов или репочру их провайдерам, не ради пользы дела, а ради морального удовлетворения

MrClon ★★★★★
(29.01.22 14:40:46 MSK)

Ответ на: комментарий от urxvt 29.01.22 14:36:19 MSK

Ну, хорошо, это нормальные ребята. Но в логах есть и SEOшники, арбитражники и прочие нехорошие ребята.

o_--
(29.01.22 14:40:59 MSK) автор топика

Ссылка

Ответ на: комментарий от MrClon 29.01.22 14:40:46 MSK

А смысл? Там, наверно, арендованый на сутки (условно) IP.

o_--
(29.01.22 14:42:15 MSK) автор топика

Ответ на: комментарий от o_-- 29.01.22 14:30:44 MSK

https://en.wikipedia.org/wiki/Referrer_spam

fulmar_lor ★
(29.01.22 14:45:13 MSK)

Ссылка

Ответ на: комментарий от o_-- 29.01.22 14:42:15 MSK

На сколько я понимаю обычно используют взломанные системы. Живут они не долго как-раз благодаря абузам

MrClon ★★★★★
(29.01.22 14:50:43 MSK)

Ответ на: комментарий от MrClon 29.01.22 14:50:43 MSK

А как их отправлять?

o_--
(29.01.22 14:51:36 MSK) автор топика

Ответ на: комментарий от o_-- 29.01.22 14:51:36 MSK

Во whois айпишника должна быть почта на которую надо слать абузы (abuse@что-то-там). Или ссылка веб-форму. Изложи кратно и по сути чё не так, приложи кусок логов (с точным временем и часовым поясом)

MrClon ★★★★★
(29.01.22 15:31:16 MSK)