Apache / Ubuntu 9.04: Como faço para combater ameaças e melhorar a segurança do meu ambiente de servidor?

Question

Apache / Ubuntu 9.04: Como faço para combater ameaças e melhorar a segurança do meu ambiente de servidor?

#1 resposta do (4 votos)

3

Nosso servidor hospeda mais de mil sites, e alguns deles parecem ter sido sequestrados por scripts maliciosos. Esses scripts executam ações normalmente executadas por um usuário legítimo em massa, causando strees severos em nosso servidor e geralmente exigem que reiniciemos para limpar a carga. Nós não temos como descobrir o que eles são. Recentemente, esses ataques começaram a afetar nossas operações diárias. Nosso arquivo de log de erros tem 70 MB de tamanho, com mensagens semelhantes às seguintes:

[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx]  ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx]  Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0

Nosso arquivo de log do DB está acima de 5gbs de tamanho.

Minha pergunta é: o que podemos fazer para combater essas ameaças? Existe uma maneira de proibir IPs com base em determinado comportamento? Ainda estamos analisando nossos registros e tentando determinar um curso de ação. Quaisquer guias, referências ou tutoriais que possam ser fornecidos seriam muito apreciados.

security linux apache-2.2 ubuntu brute-force-attacks

por SFox 18.10.2012 / 03:48

1 resposta

Tags security linux apache-2.2 ubuntu brute-force-attacks

Como instalar o java-1.7.0-openjdk-devel no RHEL Server 6.3? Por que o Varnish não está sendo armazenado em cache?

score 4 · Accepted Answer

Atualize seu sistema. O Ubuntu 9.04 não recebeu uma atualização de segurança em dois anos.
client denied by server configuration: /path/to/cron.php - não se preocupe com isso. A solicitação foi bloqueada pela configuração do Apache e o invasor recebeu uma resposta 403 Forbidden .
ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php') - Isso pode potencialmente ser um grande problema - uma vulnerabilidade de estouro de buffer pode permitir que um invasor assuma o controle total do sistema. Por outro lado, pode ser que as tentativas do invasor de controlar o sistema simplesmente acionaram um bug no PHP.

O sistema já pode estar comprometido; em caso de dúvida, restaure a partir do backup. Em seguida, atualize este sistema para versões suportadas e atuais do sistema operacional, que também atualizará seus pacotes de aplicativos. Veja se você ainda está tendo problemas e, em caso afirmativo, trabalhe para neutralizar o estouro de buffer validando os dados de entrada do cliente completamente.