我有一个PHP应用程序遇到两种类型的坏人:
- 扫描漏洞的人(SQL注入,XSS或尝试请求不存在的URL,如/ phpmyadmin或/ webmail或其他一些)
- 评论垃圾邮件发送者。
堆栈是Ubuntu 12.04 + nginx + PHP(FPM)
我想要做的是设置一个流程,可以在检测到滥用模式时通过删除IP地址来禁止这些不良行为者。我该怎么做?
模式的一些例子是:
- 1分钟内超过2条评论(由nginx或PHP检测)
- 10分钟内有超过2条评论,每条评论都有网址。 (由nginx或PHP检测)
- 对phpmyadmin的请求(需要由nginx检测)
- 奇怪的参数传递给搜索/评论系统。例如\'或OR 1 = 1' - (我很想得到这种常见SQL注入模式的列表)
所以问题是 - 如何在nginx / PHP中检测这些模式以及如何设置一个可以禁止这些actor的IP地址的进程?
PS - 说实话,我不确定如何最好地标记这个问题,所以请在适当的时候重新标记。