Esta manhã, descobri que o meu servidor web foi alvo de um ataque de estilo de força bruta. Eu só descobri isso quando eu chequei aleatoriamente o meu arquivo /var/log/auth.log e vi as solicitações recebidas. Alguém tem algum conselho sobre quais arquivos de log eu deveria estar lendo no meu servidor web Apache? juntamente com isso vale a pena enviar-me os logs para ler no meu lazer e, em caso afirmativo, quais são os métodos mais fáceis para fazer isso?
Ferramentas como OSSEC realmente ajudam você a detectar esses tipos de coisas enquanto estão acontecendo, em vez de descobri-las na próxima dia.
Além disso, continuo a usar o logwatch apenas por causa de um resumo arquivado que posso pesquisar rapidamente através do meu cliente de e-mail.
O Logwatch irá digitalizar e enviar os detalhes dos logs. Muito útil para fins de arquivamento, caso você precise revisar os estados mais antigos. Máquinas de produção maiores tendem a precisar um pouco da saída filtrada.
Além disso, instale o denyhosts ou similar para bloquear as tentativas.
Use apenas o logcheck ou logwatch (prefiro o logcheck, eu mesmo) para filtrar todas as coisas que você não quer ver, e depois o resto será enviado por e-mail para você. Muito útil, deve estar em execução em todos os servidores.
Verifique a parte inferior de /etc/aliases e adicione seu endereço de e-mail na parte inferior:
Person who should get root's mail
root: [email protected]
Verifique se o sendmail ou o postfix está funcionando para que você receba o e-mail.
Dependendo de quantas caixas você deseja monitorar, você pode querer examinar um sistema de monitoramento de logs centralizado. Eu pessoalmente o uso mesmo para pequenas implantações simplesmente porque é muito mais conveniente ter todos os meus logs (não apenas apache) acessíveis e pesquisáveis centralmente.
Ferramentas como Splunk tornam isso muito fácil e agradável de usar.