На нашем сервере размещено более тысячи сайтов, и некоторые из них, похоже, были взломаны вредоносными скриптами. Эти сценарии запускают действия, обычно выполняемые законным пользователем в массовом порядке, вызывая серьезные потоки на нашем сервере и часто требуя перезапуска для сброса нагрузки. У нас нет возможности узнать, что это такое. В последнее время эти атаки начали влиять на нашу повседневную деятельность. Наш файл журнала ошибок имеет размер 70 МБ с сообщениями, подобными приведенным ниже:
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0
Размер нашего файла журнала БД превышает 5 ГБ.
У меня вопрос: что мы можем сделать, чтобы противостоять этим угрозам? Есть ли способ запретить IP-адреса на основании определенного поведения? Мы все еще просматриваем наши журналы и пытаемся определить курс действий. Будем очень признательны за любые руководства, ссылки или учебные пособия.
client denied by server configuration: /path/to/cron.php
- Не беспокойся об этом. Запрос был заблокирован конфигурацией Apache, и злоумышленник получил 403 Forbidden
ответ.ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
- Это потенциально может быть серьезной проблемой - уязвимость, связанная с переполнением буфера, может позволить злоумышленнику получить полный контроль над вашей системой. С другой стороны, могло случиться так, что попытки злоумышленника захватить вашу систему просто вызвали ошибку в PHP.Возможно, система уже взломана; если есть сомнения, восстановите из резервной копии. Затем обновите эту систему до поддерживаемых и текущих версий ОС, которые также обновят ваши пакеты приложений. Посмотрите, остались ли проблемы у вас, и если да, постарайтесь противодействовать переполнению буфера, тщательно проверяя входные данные клиента.