Eu instalei o apache no servidor ubuntu 14.04 usando o apt-get. Eu montei um site simples, fiz upload de algumas fotos, etc, o site está funcionando. Eu decidi dar uma olhada na segurança da coisa usando um dos serviços de verificação de segurança online. A auditoria de segurança diz que tenho dois problemas de gravidade média:
Apache Running Version Prior to 2.4.8
Apache Running Version Prior to 2.4.10
O repositório não possui nenhuma atualização, então eu suponho que tenho a versão mais alta disponível ... As únicas coisas que eu sabia como verificar eram o openproxy com curl (tentei buscar uma página da wikipedia e obtive minha própria página inicial que parece correto)
- Devo estar preocupado com a versão do Apache que tenho disponível ou as correções de segurança são backported e a versão é irrelevante aqui?
- Como posso testar vulnerabilidades do servidor, o que devo observar em particular?
Nos logs, vi várias tentativas de brutalforce ssh frustradas pelo fail2ban e no apache registram algumas solicitações GET estranhas (muitas indicando tentativas de shellshock), mas também as solicitações GET para outros sites, que - como mencionei - retornam minha página inicial. / p>