Как заблокировать потенциальных злоумышленников на моем сервере

Чтобы быть кратким и простым, я перейду прямо к делу. Кажется, куча IP-адресов пытается получить доступ к файлам, которые потенциально могут содержать конфиденциальную информацию о сервере на моем веб-сайте, который все еще находится в стадии разработки на базе Linux и apache2, и я все чаще получаю журналы ошибок apache2 некоторых IP-адресов, пытающихся получить доступ к файлам, которые даже не выходите на мой сервер.

Вот некоторые журналы

[клиент 103.153.76.212:64595] скрипт '/var/www/websites/example.com/xmlrpc.php' не найден или не может получить статистику
[клиент 45.146.164.110:56158] скрипт '/var/www/websites/example.com/index.php' не найден или не может получить статистику
[клиент 5.188.210.227:31411] скрипт '/var/www/websites/example.com/echo.php' не найден или не может получить статистику
[клиент 45.146.164.110:32824] скрипт '/var/www/websites/example.com/index.php' не найден или не может получить статистику
[клиент 128.199.2.210:55528] скрипт '/var/www/websites/example.com/system_api.php' не найден или не может получить статистику
[клиент 117.50.90.31:43096] скрипт '/var/www/websites/example.com/wp-login.php' не найден или не может получить статистику
[клиент 143.198.136.88:39108] AH01630: клиент запрещен конфигурацией сервера: /var/www/websites/example.com/server-status
[клиент 143.198.136.88:39688] скрипт '/var/www/websites/example.com/info.php' не найден или не может получить статистику
[клиент 45.146.164.110:34004] скрипт '/var/www/websites/example.com/index.php' не найден или не может получить статистику

Я заменил свой сайт на example.com, но вы поняли картину, плюс я немного покопался в этих IP-адресах и не получил абсолютно ничего, хотя мой IP показал, что он принадлежит какому-то российскому интернет-провайдеру.

Очевидно, что кто бы это ни делал, он проверяет наличие уязвимостей, но я хочу автоматически блокировать эти IP-адреса. Есть ли модуль Apache2, скрипт php или python, который я могу использовать для достижения этой цели?

Автоматизированные зонды постоянно проверяют большие части Интернета, пытаясь определить, что работает на вашем сервере, какое программное обеспечение на нем работает и какие версии.

Некоторые из этих тестов предназначены для действительных исследовательских целей, а другие менее безобидны и предшествуют попыткам использования известных уязвимостей в программном обеспечении.

Когда ваш сервер и программное обеспечение обновляются и исправляются, это скорее неприятность, чем большой риск для безопасности, ИМХО.

В целом инструментарий для обнаружения таких зондов представляет собой ❤Система обнаружения вторжений❤ или IDS, которые часто сочетаются с «система предотвращения вторжений».

Википедия перечисляет множество подходящих инструментов в записи IDS, общий выбор в этом сценарии фейл2бан

Когда ваша система разработки общедоступна и находится в сети, а не блокирует определенные «плохие IP-адреса», общий подход противоположен:

• одеяло "все отрицать" на всех IP-адресах
• предоставлять доступ только ограниченному числу «заведомо хороших IP-адресов», которым в данный момент требуется доступ.

Углубление в том, где размещена ваша система, что может быть достигнуто с помощью

• политика доступа, применяемая во внешнем брандмауэре и/или с группами безопасности
• по политикам доступа на самом сервере:
  • брандмауэр на основе хоста
  • управление доступом к конкретному приложению, основанное либо на IP, либо на другой аутентификации, например, в Apache: https://httpd.apache.org/docs/2.4/howto/access.html

Обратите внимание, что в последнем случае, когда приложение применяет политику управления доступом, обычно эти действия все равно будут регистрироваться и записываться в файлы журнала ваших приложений.