.htaccess技巧混亂不受歡迎的訪問者

Question

看着我的服務器錯誤日誌，我看到很多來自中國，泰國IP地址的嘗試，還有一些嘗試訪問名爲「manager」，「phpmyadmin」的不存在的目錄， 「admin」，cgi-bin中的任何內容等等。有一些奇怪的重複請求，稱爲「w00tw00t.at.blackhats.romanian.anti-sec：」和「HNAP1」。

我正在考慮如何編寫一個.htaccess規則來將請求重定向回請求的IP地址，但是想知道是否有其他令人討厭的技巧會挫敗這些灰塵包，因爲相同的4或5不存在目錄總是嘗試。

更新：按照下面的「Michael-sqlbot」的建議，我試圖在我的服務器上設置mod_security作爲tarpit。我安裝它很好，並進行了配置，但即使我可以驗證它正在編譯我的配置腳本（通過引入語法錯誤並重新啓動httpd進行驗證），但它似乎忽略了不希望的訪問嘗試。

下面是我在/etc/httpd/modsecurity.d/activated_rules/tarpit.conf

<IfModule mod_security2.c> 
    SecRuleEngine On 
    SecDefaultAction log,allow,status:406,phase:2 
    SecRule REQUEST_URI phpmyadmin t:lowercase,id:14142,pause:5000,log,noauditlog,status:402,deny 

    SecDebugLog /var/log/httpd/modsec_debug.log 
    SecDebugLogLevel 0 
</IfModule> 

的modsec_debug.log文件最初但總是空空的創建。請求mydomain.com/phpmyadmin只是返回通常的403錯誤，就好像mod_security不存在一樣。 （我不知道爲什麼我得到了403錯誤，也許這是由於舊的符號鏈接，我不得不phpmyadmin目錄，它已經很久沒有）。

Answer 1

您可能沒有被活人掃描，所以嘗試給他們看一些東西沒什麼意義。您很可能會被腳本掃描，而這些腳本只會忽略與其正在掃描的漏洞不一致的任何響應。

在我的服務器前，我有一個「haproxy」，它具有「tarpit」功能......當一個匹配可疑/煩人模式的請求到達時，它會被「tarpitted」 - 延遲幾次（可配置）秒，響應爲「500內部服務器錯誤」，連接關閉。

對我來說，最令人滿意的部分是延遲。他們顯然試圖儘可能多地掃描儘可能多的主機，所以一個很長的延遲會浪費他們的時間。方面的好處是，請求不會傳遞給apache日誌，因爲它永遠不會轉發給apache，顯然haproxy能夠以很少的開銷爲這些請求提供服務。

顯然，這可以用apache本身完成，儘管我還沒有嘗試過。這裏有一個方法，我通過搜索「apache」和「tarpit」搜索到。

http://edvoncken.net/2010/08/annoyed-by-phpmyadmin-scans-set-up-a-tarpit-with-mod_security/

這將是有趣的，如果它是可以給他們發送重定向會導致他們攻擊已專門設立了用於該目的的執法目標，但短期的是，涉及第三未經他們同意的偏轉計劃中的一方在道德上是可疑的。