apache安全检测和阻止探测IP地址

Question

通过查看/var/log/apache2/error_log中的apache日志，我看到大量IP尝试访问不存在的文件。我将它们解释为探测我的web服务器试图查找要利用的漏洞文件的机器人。

文件如下：

/var/www/html/compress.php
/var/www/html/index.php
/var/www/html/wp-login.php
/var/www/hmtl/getcfg.php

然后，我将查看/var/www/目录，并在其中找到/cgi-bin和/html子文件夹。/cgi文件夹是空的，但是/html文件夹有一些文件，比如：400.shtml, 401.shtml, 403.shtml, 404.shtml，甚至index.html。然后我读到这些是apache创建和拥有的--这是真的吗？如果so...what是这个文件夹/文件的用途？

我是否可以使用apache...or ConfigServer (防火墙)配置来检测这些探测I并自动阻止它们？任何不断寻找不存在的多个文件的IP --意味着它的用户(甚至不是一个机器人)能够正确地访问正确的HTML页面--都是恶意的，应该被阻止。

Answer 1

不知道CSF，但有一个Apache模块，mod_evasive会有所帮助。只要稍微调整一下，它就能做你想做的任何事情。

https://blog.cpanel.com/blocking-attacks-with-easyapache-4s-mod_evasive/ https://docs.cpanel.net/ea4/apache/apache-module-evasive/