Недостатки поддельной приманки phpMyAdmin, которая приводит к занесению ip в черный список и robots.txt запретить/исключить горшочек с медом?
Я пытаюсь понять, следует ли мне настраивать систему с помощью поддельного phpMyAdmin (сайт постоянно посещается людьми, которые ищут уязвимости в этом приложении).
Моей мыслью было создать php-скрипт honeypot, который имитировал бы логин phpMyAdmin, а затем внес в черный список IP-адреса, которые попали по этому URL (и еще не внесены в белый список). Затем я бы добавил соответствующие URL-адреса в robots.txt так что пауки, которые на самом деле уважают мою robots.txt не было бы попал в черный список.
Есть ли недостатки у этого подхода, иногда ли законные роботы не уважают robots.txt при определенных обстоятельствах есть ли какие-либо проблемы с этим, которые я должен рассмотреть заранее?
3 answers
Есть ли недостатки у этого подхода
Да. Злоумышленник может использовать IP-адрес прокси-сервера. Вы можете в конечном итоге внести в черный список законных пользователей с тем же IP-адресом, а злоумышленник может просто изменить свой IP-адрес, если он внесен в черный список.
Robots.txt является консультативным протоколом; никто не имеет , чтобы следовать ему, и несколько пауков этого не делают (например, те, которые используются интернет-архивистами, такими как команда архива .)
Таким образом, вы можете рассмотреть возможность внесения в белый список IP-адресов, которые будут получать доступ к вашей реальной области phpMyAdmin, и исключения всех остальных, вместо того, чтобы вносить в черный список всех тех, кто попал в ваш медовый горшок. Самый простой способ сделать это, если у вас есть доступ к каталогу phpMyAdmin, - включить .htaccess файл со следующими правилами:
order deny,allow
deny from all
# allow my home IP address
allow from XX.XX.XXX.XXX
# allow my work IP address
allow from XX.XX.XXX.XXX
Очевидным недостатком занесения в черный список является блокировка допустимых пользователей, совместно использующих NAT с машинами, которые вы хотите внести в черный список (подумайте: крупные корпорации с VPN и всего несколькими внешними IP-адресами или университеты с аналогичными настройками, возможно, даже некоторые интернет-провайдеры).
В конкретном случае червей, таких как тот, который пытается распространяться через ошибки в phpMyAdmin, это будет означать, что вы занесете зараженные машины в черный список. Они останутся в черном списке даже после того, как будут очищены с помощью антивирусного программного обеспечения. Это также не то, что вы хотите.