Наш сервер недавно был атакован и в логах выглядит примерно так:
[Mon Feb 18 09:18:43 2019] [IP_ADDRESS] script '/var/www/ynm.php' not found or unable to stat
[Mon Feb 18 09:18:43 2019] [IP_ADDRESS] script '/var/www/71.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/wadre.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/vm.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/test.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/1q.php' not found or unable to stat
[Mon Feb 18 09:18:45 2019] [IP_ADDRESS] script '/var/www/1111.php' not found or unable to stat
[Mon Feb 18 09:18:45 2019] [IP_ADDRESS] script '/var/www/errors.php' not found or unable to stat
[Mon Feb 18 09:18:46 2019] [IP_ADDRESS] script '/var/www/q.php' not found or unable to stat
Эти атаки иногда продолжаются часами и приводят к зависанию сервера.
Как от этого защититься? fail2ban?
Забанили IP вручную, но они меняются каждый раз.
Спасибо!
Это обычное явление. Роботы пытаются найти небезопасные скрипты и использовать их. Вы действительно не можете избежать этого, если у вас есть веб-сервер в Интернете, вы увидите подобные сканы.
Однако, поскольку вы работаете на AWS EC2, у вас есть несколько вариантов:
Использовать AWS WAF (Брандмауэр веб-приложений) для защиты вашего сайта от вредоносных атак.
Использовать AWS Shield - управляемая защита от DDoS-атак. Свободно.
И т.д...
В любом случае такое сканирование не должно приводить к зависанию вашего сервера. Это зависание, вероятно, вызвано чем-то другим - возможно, DDoS (подсказка: используйте AWS Shield) или какой-то успешный эксплойт одного из ваших PHP-скриптов, который потребляет память экземпляра.
Надеюсь, это поможет :)
Вы можете использовать это приложение, оно мне очень пригодится. Это интеграция Fail2ban для AWS ACL.
https://www.cloudar.be/integrating-fail2ban-with-aws-network-acls/