Стоечная атака не заносит в черный список ни один ip

Question

Стоечная атака не заносит в черный список ни один ip

Это мое первое взаимодействие с рэкет-атакой, поэтому, пожалуйста, не стесняйтесь указывать на любые ошибки, которые могут возникнуть в коде. что я пытаюсь в черный список тех, ip которые пытаются получить доступ к таким маршрутам, как "/azenv.php", "/setup.php" etc.. Как эти люди постоянно бьют с какой-то случайной .php URL и, возможно, пытаясь отключить сервер, я подумал, что было бы неплохо начать блокировать их, но, очевидно, атака по стойке не блокирует ip который пытается получить доступ к URL, упомянутому выше.

Блок кода, который я пытаюсь запустить:

class Rack::Attack

  Rack::Attack.whitelist('allow from localhost') do |req|
  # Requests are allowed if the return value is truthy
  '127.0.0.1' == req.ip || '::1' == req.ip || '122.166.130.230' == req.ip
  end

  Rack::Attack.blacklist("Block Referrer Analytics Spam") do |request|
    spammerList = ENV.has_key?("spammerList") ? ENV["spammerList"].split(',') : []
    spammerList.find { |spammer| request.referer =~ %r{#{spammer}} }
  end

  Rack::Attack.blacklist('bad_login_ip') do |req|
   (req.post? && req.path == "/users/sign_in" && IPCat.datacenter?(req.ip))
  end

  Rack::Attack.blacklist('Stupid IP for PHP') do |req|
    if req.path == "/azenv.php" || req.path == "/testproxy.php" || req.path == "//web/scripts/setup.php"
      req.ip
    end
    # req.path.include?(".php")
  end

  Rack::Attack.throttle('req/ip', limit: 300, period: 5.minutes) do |req|
    req.remote_ip if ['/assets', '/check'].any? {|path| req.path.starts_with? path }
  end

  Rack::Attack.throttle('req/ip', :limit => 5, :period => 20.seconds) do |req|
    if req.path == '/users/sign_in' && req.post?
      req.ip
    end
  end

  Rack::Attack.throttle("logins/email", :limit => 5, :period => 20.seconds) do |req|
    if req.path == '/users/sign_in' && req.post?
      # return the email if present, nil otherwise
      req.params['email'].presence
    end
  end
end

некоторые из блоков взяты из их вики. пожалуйста, сделайте исправление, если что-то здесь не так.

ОБНОВИТЬ

это фрагмент кода, который я пытаюсь из приведенного примера:

Rack::Attack.blacklist('fail2ban pentesters') do |req|
  # `filter` returns truthy value if request fails, or if it's from a previously banned IP
  # so the request is blocked
    Rack::Attack::Fail2Ban.filter("pentesters-#{req.ip}", :maxretry => 1, :findtime => 10.minutes, :bantime => 5.minutes) do
      # The count for the IP is incremented if the return value is truthy
      req.path.include?('/testproxy.php') ||
      req.path.include?('azenv.php') 

    end
  end

2

ruby-on-rails security rack-middleware rackattack

Источник

user2545197 31 янв '16 в 16:14

1 ответ

Другие вопросы по тегам ruby-on-rails security rack-middleware rackattack

user197645 01 фев '16 в 11:50 2016-02-01 11:50 · Answer 1 · 2016-02-01 11:50

@abhinay, не могли бы вы уточнить, какие запросы успешны, и которые вы ожидаете заблокировать?

Если вы хотите заблокировать все запросы с IP-адреса, который сделал несколько запросов PHP, вам нужен Fail2Ban, как предложено @frederickcheung.

В readme и wiki есть примеры.

user4128788 04 сен '20 в 13:50 2020-09-04 13:50 · Answer 2 · 2020-09-04 13:50

Вы пытались переместить переменные среды из блока,

Например:

  spammerList = ENV.has_key?("spammerList") ? ENV["spammerList"].split(',') : []

  Rack::Attack.blacklist("Block Referrer Analytics Spam") do |request|
    spammerList.find { |spammer| request.referer =~ %r{#{spammer}} }
  end

0

Источник

user4128788 04 сен '20 в 13:50