Назад | Перейти на главную страницу

Apache / Ubuntu 9.04: как мне противостоять угрозам и повысить безопасность моей серверной среды?

На нашем сервере размещено более тысячи сайтов, и некоторые из них, похоже, были взломаны вредоносными скриптами. Эти сценарии запускают действия, обычно выполняемые законным пользователем в массовом порядке, вызывая серьезные потоки на нашем сервере и часто требуя перезапуска для сброса нагрузки. У нас нет возможности узнать, что это такое. В последнее время эти атаки начали влиять на нашу повседневную деятельность. Наш файл журнала ошибок имеет размер 70 МБ с сообщениями, подобными приведенным ниже:

[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx]  ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx]  Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0

Размер нашего файла журнала БД превышает 5 ГБ.

У меня вопрос: что мы можем сделать, чтобы противостоять этим угрозам? Есть ли способ запретить IP-адреса на основании определенного поведения? Мы все еще просматриваем наши журналы и пытаемся определить курс действий. Будем очень признательны за любые руководства, ссылки или учебные пособия.

  1. Обновите вашу систему. Ubuntu 9.04 не получал обновления безопасности два года.
  2. client denied by server configuration: /path/to/cron.php - Не беспокойся об этом. Запрос был заблокирован конфигурацией Apache, и злоумышленник получил 403 Forbidden ответ.
  3. ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php') - Это потенциально может быть серьезной проблемой - уязвимость, связанная с переполнением буфера, может позволить злоумышленнику получить полный контроль над вашей системой. С другой стороны, могло случиться так, что попытки злоумышленника захватить вашу систему просто вызвали ошибку в PHP.

Возможно, система уже взломана; если есть сомнения, восстановите из резервной копии. Затем обновите эту систему до поддерживаемых и текущих версий ОС, которые также обновят ваши пакеты приложений. Посмотрите, остались ли проблемы у вас, и если да, постарайтесь противодействовать переполнению буфера, тщательно проверяя входные данные клиента.