.htaccess – lista 10tyś niebezpiecznych IP do zablokowania

Dzięki dostępowi do około 15 stron www postawionych na WordPress-ie oraz uruchomieniu wtyczki Redirection która monitoruje błędy 404 („podstrona o danym adresie nie istnieje”) od ponad 6 miesięcy zbierałem takie nieoprawne odwołania.

Po kilku godzinach ręcznej analizy i „odsianiu” adresów podstron które faktycznie mogły nie działać z różnych przyczyn pozostało >95% linków spamowych (tak je określę), którymi ktoś (osoba lub bot) próbowały się posłużyć w celu wydobycia informacji lub bezpośredniego dostępu do plików np. wtyczek dzięki którym mógłby przeprowadzić skuteczny atak.

W ten sposób powstała lista zakresów adresów IP, którą dołączę do pliku .htaccess w celu ich blokowania i zabezpieczania przed potencjalnymi dalszymi atakami zwiększając bezpieczeństwo strony www. Oczywiście lista ta może być zastosowana na dowolnym serwerze 😉

Jak filtrowałem

Linków do analizy było bardzo dużo dlatego posłużyłem się Excelem i wyszukiwałem na początku linki zawierające potencjalnie nieubezpieczenie miejsca do których nie powinna uzyskiwać dostępu żadna normalna osoba przeglądająca stronę www, wymienię tylko kilka z nich:

public.rar
public.zip
public_html.zip
dump.sql
.sql
.pl.sql
.xml
.php
.tar.zip
backup
//
wp-content/plugins
wp-content/themes
.bak
.old
.log
.txt
.asp
file://
wp-config.php
/archive.zip
/author/
/awstats/
.jsp

Spostrzeżenia i wnioski

Nie należy tworzyć i przechowywać na serwerze kopii plików w postaci:
public.rar
public.zip
public_html.zip
dump.sql
archive.zip
1.sql
backup.sql
backup.sql.gz
backup.sql.tar
backup.zip
backup_twojastronawww.pl.sql
twojastronawww.pl-dump.tar.gz
configuration.php.backup
db.php
db.tar.gz
dump.php

oraz np. tworzyć kopie plików ze zmienioną nazwą np.
wp-config.php_
wp-config-backup.txt
index_.php
index.ph_
index.php1
index.php_
index.php__

ponieważ wprawny włamywacz może wykorzystać je wykorzystać!

Wynik

  1. Udostępniam plik „krzaki” dla zobrazowania z jakimi adresami miałem do czynienia (tak dla ciekawości) zawierający niecałe 2 z ponad 32tyś unikalnych adresów (całości nie udostępnię).
  2. Daje to 90tyś adresów IP gdzie po usunięciu duplikatów pozostało ich 10tyś.
  3. Całą listę adresów IP przed usunięciem duplikatów + po usunięciu duplikatów + połączaniem zakresów i usunięciem zakresów IP botów Google, Yahoo itp. przesyłam po polubieniu fanpaga 😉 i napisaniu prośby na przez FaceBooka

acces 1

min-krzaki

min-krzaki-2