CrowdSec 门卫被设计成可以包含在任何 PHP 应用程序中,以帮助阻止攻击者。
PHP 是 Web 上广泛使用的一种编程语言,据估计有近 80% 的网站使用它。我在CrowdSec的团队决定,我们需要为 服务器 管理员提供一个 PHP 门卫,以帮助抵御那些可能试图与 PHP 文件互动的机器人和不良分子。
CrowdSec 门卫可以在应用栈的各个层面上进行设置:Web 服务器、防火墙、CDN等等。本文关注的是另外一个层次:直接在应用层面设置补救措施。
由于各种原因,直接在应用程序中进行补救是有帮助的:
虽然 CrowdSec 已经发布了一个 WordPress 门卫,但这个 PHP 库被设计成可以包含在任何 PHP 应用中(例如 Drupal)。该门卫有助于阻止攻击者,用验证码挑战他们,让人类通过,同时阻止机器人。
先决条件
本教程假定你在 Linux 服务器上运行 Drupal,并使用Apache 作为 Web 服务器。
第一步是在你的服务器上安装 CrowdSec。你可以用官方安装脚本来完成。如果你使用的是 Fedora、CentOS 或类似系统,请下载 RPM 版本:
$ curl -s在 Debian 和基于 Debian 的系统上,下载 DEB 版本:
$ curl -s这些脚本很简单,所以仔细阅读你下载的脚本,以验证它是否导入了 GPG 密钥并配置了一个新的存储库。当你清楚了它的作用后,就执行它,然后安装。
$ sudo dnf install crowdsec || sudo apt install crowdsec
CrowdSec 会自己检测到所有现有的服务,所以不需要进一步的配置就可以立即得到一个能发挥功能的设置。
测试初始设置
现在你已经安装了 CrowdSec,启动一个 Web 应用漏洞扫描器,比如Nikto,看看它的表现如何:
$ ./nikto.pl -h该 IP 地址已被检测到触发了各种场景,最后一个是crowdsecURIty/http-crawl-non_statics
:
然而,CrowdSec 只检测问题,需要一个门卫来应用补救措施。这就是 PHP 门卫发挥作用的地方。
用 PHP 门卫进行补救
现在你可以检测到恶意行为了,你需要在网站层面上阻止 IP。在这个时候,没有用于 Drupal 的门卫可用。然而,你可以直接使用 PHP 门卫。
它是如何工作的?PHP 门卫(和其他门卫一样)对 CrowdSec 的 API 进行调用,并检查是否应该禁止进入的 IP,向他们发送验证码,或者允许他们通过。
Web 服务器是 Apache,所以你可以使用Apache 的安装脚本:
$ git clone$ cd cs-php-bouncer/$ ./install.sh --apache
门卫的配置是用来保护整个网站。可以通过调整 Apache 的配置保护网站的一个特定部分。
尝试访问网站
PHP 门卫已经安装并配置好。由于之前的网络漏洞扫描行动,你被禁止了,你可以尝试访问该网站看看:
门卫成功阻止了你的流量。如果你在以前的 Web 漏洞扫描后没有被禁止,你可以用增加一个手动决策:
18075418_42928.jpg" loading="lazy">$ cscli decisions add -i
对于其余的测试,删除当前的决策:
$ cscli decisions delete -i
更进一步
我封锁了试图破坏 PHP 网站的 IP。这很好,但那些试图扫描、爬取或 DDoS 的 IP 怎么办?这些类型的检测可能会导致误报,那么为什么不返回一个验证码挑战来检查它是否是一个真正的用户(而不是一个机器人),而不是封锁 IP?
检测爬虫和扫描器
我不喜欢爬虫和坏的用户代理,在Hub上有各种方案可以用来发现它们。
确保用cscli’ 下载了 Hub 上的
base-http-scenarios` 集合:
$ cscli collections list | grep base-http-scenarioscrowdsecurity/base-http-scenarios️ enabled/etc/crowdsec/collections/base-http-scenarios.yaml
如果没有找到,请安装它,并重新加载 CrowdSec:
$ sudo cscli collections install crowdsecurity/base-http-scenarios$ sudo systemctl reload crowdsec
用验证码补救
由于检测 DDoS、爬虫或恶意的用户代理可能会导致误报,我更倾向于对任何触发这些情况的 IP 地址返回一个验证码,以避免阻止真正的用户。
为了实现这一点,请修改profiles.yaml
文件。
在/etc/crowdsec/profiles.yaml
中的配置文件的开头添加这个 YAML 块:
---# /etc/crowdsec/profiles.yamlname: crawler_captcha_remediationfilter: Alert.Remediation == true && Alert.GetScenario() in ["crowdsecurity/http-crawl-non_statics", "crowdsecurity/http-bad-user-agent"]decisions:- type: captchaduration: 4hon_success: break
有了这个配置文件,任何触发crowdsecurity/http-crawl-non_statics
或crowdsecurity/http-bad-user-agent
场景的 IP 地址都会被强制执行一个验证码(持续 4 小时)。
接下来,重新加载 CrowdSec:
$ sudo systemctl reload crowdsec
尝试自定义的补救措施
重新启动 Web 漏洞扫描器会触发很多场景,所以你最终会再次被禁止。相反,你可以直接制作一个触发bad-user-agent
场景的攻击(已知的坏用户代理列表在这里)。请注意,你必须激活该规则两次才能被禁止。
$ curl --silent -I -H "User-Agent: Cocolyzebot"> /dev/null$ curl -I -H "User-Agent: Cocolyzebot"200 OKDate: Tue, 05 Oct 2021 09:35:43 GMTServer: Apache/2.4.41 (Ubuntu)Expires: Sun, 19 Nov 1978 05:00:00 GMTCache-Control: no-cache, must-revalidateX-Content-Type-options: nosniffContent-Language: enX-Frame-Options: SAMEORIGINX-Generator: Drupal 7 (text/html; charset=utf-8
当然,你可以看到,你的行为会被抓住。
$ sudo cscli decisions list
如果你试图访问该网站,不会被简单地被阻止,而是会收到一个验证码:
一旦你解决了这个验证码,你就可以重新访问网站了。
接下来,再次解禁自己:
$ cscli decisions delete -i
启动漏洞扫描器:
$ ./nikto.pl -h与上次不同的是,你现在可以看到,你已经触发了几个决策:
当试图访问网站时,禁止决策具有优先权:
总结
这是一个帮助阻止攻击者进入 PHP 网站和应用程序的快速方法。本文只包含一个例子。补救措施可以很容易地扩展,以适应额外的需求。要了解更多关于安装和使用 CrowdSec 代理的信息,查看这个方法指南来开始。
要下载 PHP 门卫,请到CrowdSec Hub或GitHub。
慕尼黑工业大学德语要求层次?
如果你到德国留学,那么首先要看你的学历是否符合德国留学条件,具体的留学学历要求,建议你参看一下,上面有你所需要的材料。
其次就是学习德语,并保证够800学时,然后再去申请APS审核。
如果你不够800学时,但你有自信能通过审核,也一样可以去申请APS(这是我打电话到德国驻中国大使馆留德人员审核部,亲自咨询的)。
如果你的雅思成绩能够达到6.5的话,则可以申请英语审核。
等到了德国学院后也可以申请英语授课。
在APS审核通过后,你可以得到10份APS证书,你可以最多申请十所学校。
这时你就要自己选学院才行。
如果语言考试(DSH或DAF)通过了,就无所谓学时证明了。
再次就是要到德意志银行存入7220欧元(相当于人民币7.6万元左右)。
等一切都办理好后,再去申请签证。
等拿到签证,你就可以直接去德国留学了。
若是你选择的慕尼黑工大的机械工程专业的话,需要9或10个学期,学习6至8个学期考试合格可获学士学位。
实习:通常为6个月,其中2-3个月的实习在入学前完成,其余的在结业考试前完成。
专业课程开设有普通机械工程,设计技术,制造技术,内燃机,热力,驱动和输送技术,机床,涡轮机,水力机械,土工/农业机械,材料流程技术,运输和交通技术,理论机械制造等。
若是你选择机械电子工程专业的话,综合性大学为9个学期,应用科学大学为8个学期,其中包括1或2个实习学期,7个学期后可获得学士学位。
实习:综合性大学通常为6个星期的实习,在进入专业学习阶段之前完成;应用科学大学通常为3个月,在入学前完成。
专业课程开设有电机系统,机械电子系统(设计,模型建造和模拟),微型和超微型机械,生物机械,信息,信号及图像处理,传感技术,机器人技术,控制和调节技术,测量技术,电子驱动技术,水力学和气体力学。
在德国留学期间,外国留学生即使没有工作许可证也可以打工。
然而,非欧盟国家的公民和新近加入欧盟等国家的公民是要受到限制的。
在没有工作许可的情况下,他们可以每年工作90天或是180个半天。
在有些联邦州,州政府劳动局会要求外国留学生在假期工作。
在当地劳动局同意的情况下,外国人局可以批准每周另加10小时工作时间。
来自欧盟国家的学生在原则上和时间上可以不受限制地工作(爱沙尼亚、拉脱维亚、立陶宛、波兰、斯洛伐克、斯洛文尼亚、捷克共和国、匈牙利除外)。
此外,来自冰岛、列支敦士登、挪威和瑞士的学生也可不受限制地打工。
在德国,许多公司、企业雇主更愿意雇用留学生工作。
原因很简单,如果学生每周工作时间不超过19.5个小时,雇主只须支出一部分社会费给当地政府。
也就是说,学生比“正常的”雇员要便宜。
但是,留学生只做一般的计时工作,比如在一家酒馆里干活,当皮萨饼外卖送货人或清洁工,是难以承受全部学习期间费用的。
因为这里的平均计时工资是每小时8到10欧元。
对于那些具备专业知识又有工作经验的留学生,比如IT领域编程专业的留学生来说,他们的薪水要更高一些。
但是全日制的工作常常会影响到留学生日常的上课学习。
对于初到德国的留学生,德国当地的大学生管理处会在寻找工作方面提供帮助。
去当地劳动局大学生工作介绍处咨询是非常有意义的,这种机构经常直接设在大学生管理处的办公室里,这样更方便初到德国的留学生们。
一年的花费加上生活费与学费大概是7万人民币左右。
还有不懂的,可以去tum的网络吧询问:,你可以问问这个人,他qq是
B车中最好的车是什么车?
目前飞车中人气值比较高的B车型有:刺虎汽车名称: B车文字介绍:金属突兀的质感狂野奔放,内置发动机采用V3四缸压缩机,以及4S喷气管,适合专业人士驾驶。
在各类型赛道表现卓越,堪称摩托车中的王者!价格: 7700/5500/点券风影汽车名称: B车文字介绍:全新跑车“风影”将“Less is more”的理念融入了精髓。
跃动的时尚线条,透漏简约新风。
“风影”赛车从内到外,由表及里,通过从每一条弧线,每一个曲面竭力表现删繁就简的简约风格,追求一种豁然开朗的境界。
紫蓝色的喷漆,更加显示它的内敛稳健。
高速火汽车名称: B车文字介绍:完美流线外型,车体以KEVLAR铁维和GRP制成,即减轻了车重又提高了强度,超强的后动力,平稳的底盘设计,使其赋有震撼的超快速度!价格: 3800/2100/点券影驰汽车名称: B车文字介绍:全新的黑黄搭配透露着贵族与沉稳。
坚实超低的底盘是它一大特色。
时尚轮胎配上豪华的尾翼,绝对是年轻时尚一族的首选,拉风的象征。
价格: 2100/3800/点券堕落天使汽车名称: B车文字介绍: B级车[堕落天使],是[炽天使]进行改良试验时的意外产品,改装技师在强化角速度定杆时发生了意外,使手感产生了奇妙的变化。
价格: 2100/3800/点券极光汽车名称: B车文字介绍:双Turbine加上FR设计有着强劲的后推力,梅花拼齿防撞轮胎大大增加转弯抓地力,车体后半部更象蓝博基尼纪念款,集速度和酷炫于一身。
价格: 2100/3800/点券大黄蜂汽车名称: B车文字介绍:伴随着变形金刚赛车的闪亮登场,各款专为变形金刚赛车设计的全新套装也应运而生,红蜘蛛、大黄蜂、机器人等带您走进一个变形金刚的赛车世界。
金刚迷们赶快来看一看这一款款造型独特、气派非凡的变形金刚套装吧!价格: 3590//1980点券更多B车请进入官网查看:车&page=1
如何让百度搜索正常收录
不错,赞~ 稳定点
发表评论