С прошлой недели я использую веб-сервер (Apache2 на Ubuntu, доступный только по IP), и я считаю, что сейчас я наиболее уязвим, поскольку не знаю, на что обращать внимание, поэтому я спрошу экспертов прямо сейчас. кейс.
Просматривая журналы доступа, я могу отследить большинство обращений к себе. Затем есть несколько невинно выглядящих одиночных запросов GET, но также есть несколько более подозрительных обращений: доступ wget к файлам конфигурации, предполагаемая атака с использованием инъекции php, предполагаемый доступ к тому, что выглядит как серверы баз данных, и т. Д. Все эти запросы были отклонены, кстати.
Должен ли я что-то делать с этим, помимо обновления программного обеспечения и т. Д., Например, сообщать о них или принимать дополнительные меры безопасности? Следует ли мне продолжать отслеживать журналы доступа?
Вы можете познакомиться с fail2ban: это программное обеспечение, которое отслеживает файлы журналов на предмет подозрительной активности и блокирует исходный IP-адрес на желаемый период времени, даже на неопределенный срок. Он также может отправить вам уведомление по электронной почте с подробностями об угрозе и предпринятых действиях.
Fail2ban сканирует файлы журналов (например, / var / log / apache / error_log) и блокирует IP-адреса, которые показывают злонамеренные признаки - слишком много сбоев пароля, поиск эксплойтов и т. Д. Обычно Fail2Ban затем используется для обновления правил брандмауэра для отклонения IP-адресов. в течение определенного периода времени, хотя любое другое действие (например, отправка электронного письма) также может быть настроено. Fail2Ban «из коробки» поставляется с фильтрами для различных сервисов (apache, courier, ssh и т. Д.).