Ataque con peticiones PHP

  • Autor Autor Usuario eliminado 136921
  • Fecha de inicio Fecha de inicio
U

Usuario eliminado 136921

Tengo un VPS con Nginx al que siempre intentan atacar ingresando direcciones que no existen del tipo "/spywall/timeConfig.php"

He visto los logs del VPS y estos ataques siempre devuelven el error http 400 y me gustaría que devolviera el error 403

Estoy intentando esto:
Insertar CODE, HTML o PHP: 
location ~* /(directorio| directorio | directorio | directorio | tmp)/.*.(php|pl|py|jsp|asp|sh|cgi)$ {
deny all;
}

¿Pero para que sirva para toda la web que tengo que poner donde pone directorio?

¿Cómo puedo bloquear este tipo de peticiones que terminan por php?
 
Alejandro Ruiz dijo:
Tengo un VPS con Nginx al que siempre intentan atacar ingresando direcciones que no existen del tipo "/spywall/timeConfig.php"

He visto los logs del VPS y estos ataques siempre devuelven el error http 400 y me gustaría que devolviera el error 403

Estoy intentando esto:
Insertar CODE, HTML o PHP: 
location ~* /(directorio| directorio | directorio | directorio | tmp)/.*.(php|pl|py|jsp|asp|sh|cgi)$ {
deny all;
}

¿Pero para que sirva para toda la web que tengo que poner donde pone directorio?

¿Cómo puedo bloquear este tipo de peticiones que terminan por php?
Hacer clic para expandir...
naaa tranquilo no pasa nada ,lo unico que hacen que estan en osint checkeando los posibles escritorios yarchivos con un diccionario , tengo una pregunta para ayudarte , todas esas peticiones son de una misma ip?
 
agrega esto al .htaccess


RewriteEngine on
RewriteCond %{QUERY_STRING} ^([0-9]+)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)\?([0-9]+)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^([0-9]+\.[0-9])(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)\?([0-9]+\.[0-9])(.*)$ [NC]
RewriteRule ^(.*)$ http://%{REMOTE_ADDR} [L]
 
MATRIX 305 dijo:
naaa tranquilo no pasa nada ,lo unico que hacen que estan en osint checkeando los posibles escritorios yarchivos con un diccionario , tengo una pregunta para ayudarte , todas esas peticiones son de una misma ip?
Hacer clic para expandir...

No, siempre son varias IPs a lo largo del día. Sé que son bots, por eso me gustaría que se devolviera el http 403, que es el de acceso bloqueado, y no el http 400
 
en todo caso si aun no te funciona tendrias que limitar las peticiones (get) en este caso
 
Alejandro Ruiz dijo:
No, siempre son varias IPs a lo largo del día. Sé que son bots, por eso me gustaría que se devolviera el http 403, que es el de acceso bloqueado, y no el http 400
Hacer clic para expandir...
usan proxys en todo caso , lo que podrias hacer en caso es dar un falso positivo en todo , ohhh poner un capcha al inicio , estilo cloudflare y su modo bajo ataque
 
MATRIX 305 dijo:
usan proxys en todo caso , lo que podrias hacer en caso es dar un falso positivo en todo , ohhh poner un capcha al inicio , estilo cloudflare y su modo bajo ataque
Hacer clic para expandir...

Gracias, pero uso NGinx, eso es para Apache. De todas formas lo he pasado a Nginx y me sale así:

Insertar CODE, HTML o PHP: 
location / {
  if ($query_string ~* "^([0-9]+)$"){
    rewrite ^(.*)$ http://$remote_addr redirect;
  }
}

¿el código que hace exactamente?
 
Alejandro Ruiz dijo:
Gracias, pero uso NGinx, eso es para Apache. De todas formas lo he pasado a Nginx y me sale así:

Insertar CODE, HTML o PHP: 
location / {
  if ($query_string ~* "^([0-9]+)$"){
    rewrite ^(.*)$ http://$remote_addr redirect;
  }
}

¿el código que hace exactamente?
Hacer clic para expandir...
limitar las peticiones ,bueno también esta la opción de bloquear agentes pero muy bien puedes usar las 2 , y bueno ya me dirás después que te funcionara mas que bien

agrega esto en .htaccess
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

RewriteCond %{HTTP_USER_AGENT} ^.*(dav.pm/v|libwww-perl|urllib|python-requests|python-httplib2|winhttp.winhttprequest|lwp-request|lwp-trivial|fasthttp|Go-http-client|Java|httplib|httpclient|Zend_Http_Client).*$ [NC]
RewriteRule .* - [F,L]

RewriteCond %{HTTP_USER_AGENT} ^.*(CtrlFunc|w00tw00t|Apachebench).*$ [NC]
RewriteRule .* - [F,L]
</IfModule>
 
NGINX: 
location ~*  /(directorio|directorio|directorio|directorio|tmp)/ \.(php|pl|py|jsp|asp|sh|cgi)$ {
    deny all;
}

No lo he probado pero debería de funcionar
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Dinero Infinito
Me llegan peticiones en analytics de urls con parámetros añadidos muy extraños
Respuestas
5
Visitas
336
Dinero Infinito
Dinero Infinito
tedesco3356
  • Cerrado
Se solicita Programador para dejar funcional peticiones rest en servidor dedicado.
Respuestas
3
Visitas
246
tedesco3356
tedesco3356
Notcali
  • Cerrado
Se solicita Programador que me enseñe a hacer peticiones a una API
Respuestas
8
Visitas
347
1popularity
1popularity
L
Ayuda! Ubicar peticiones pendientes servidor Godaddy
Respuestas
0
Visitas
811
luisdom
L
Guatemalteco Spanish
  • Cerrado
Problemas con mi servidor: Ataque y falta de ayuda
2 3 4
Respuestas
78
Visitas
12K
Carlos Arreola
Carlos Arreola
Atrás
Arriba