Что делать с записями журнала, указывающими на предполагаемые атаки на мой сервер
С прошлой недели у меня работает веб-сервер (Apache2 в Ubuntu, доступный только по IP), и я считаю, что сейчас я наиболее уязвим, так как не знаю, на что обратить внимание, поэтому я спрошу экспертов только в дело.
Просматривая журналы доступа, я могу проследить большинство обращений к себе. Затем есть несколько невинно выглядящих одиночных GET-запросов, но также есть несколько более подозрительных обращений: доступ wget к файлам конфигурации, предполагаемая атака с использованием php, предполагаемый доступ к серверам баз данных и т. Д. Все эти запросы были отклонены, между прочим.
Должен ли я что-то сделать с этим, помимо обновления программного обеспечения и т. Д., Например, сообщить о них или принять дополнительные меры безопасности? Должен ли я следить за журналами доступа?
1 ответ
Возможно, вы захотите познакомиться с fail2ban: это программное обеспечение, которое отслеживает файлы журналов на предмет подозрительной активности и блокирует исходный IP-адрес в течение требуемого периода времени, даже на неопределенный срок. Он также может отправить вам уведомление по электронной почте с информацией об угрозе и предпринятых действиях.
Fail2ban сканирует файлы журналов (например, /var/log/apache/error_log) и блокирует IP-адреса, которые показывают вредоносные признаки - слишком много сбоев паролей, поиск эксплойтов и т. Д. Обычно Fail2Ban затем используется для обновления правил брандмауэра для отклонения IP-адресов в течение определенного периода времени, хотя любое другое произвольное действие (например, отправка электронного письма) также может быть настроено. Из коробки Fail2Ban поставляется с фильтрами для различных сервисов (apache, courier, ssh и т. Д.).