Atualmente, tenho um site de tamanho médio, que provavelmente tem algumas falhas de segurança. Isso é provavelmente normal, eu acho. Você não pode pegar tudo. O problema é que eu também tenho um par de kiddies de script que acham divertido tentar dia e noite tentar invadir meu site, para saber quem sabe o quê. Provavelmente algo como excluir o banco de dados. Eu tenho backups, mas ainda é um pedágio na RAM e CPU, e eu prefiro pará-lo. Existe alguma maneira de analisar os logs do servidor para descobrir facilmente quais entradas são causadas pelas crianças do script? Eles provavelmente seriam identificados por vários acessos por minuto, mas é uma dor passar e escolher as entradas quando eu poderia estar fazendo algo que vale a pena.
cat access_log | awk '{print $1}' | sort | uniq -c |sort -g
deve produzir uma lista ordenada de endereços IP que estão atingindo o seu site, a primeira coluna será o número de acessos, o segundo o ip.
Você pode ter que alterar o valor $ 1, esta é a posição do campo de endereço IP na linha do arquivo de log. No meu servidor web é o primeiro, portanto, $ 1, caso contrário, um campo é definido como 'separado por espaço em branco' para que a próxima entrada seja $ 2, etc.
Você deve gastar seu tempo consertando seu site, então você não terá que escanear seus arquivos de log o tempo todo ...
AWStats ou Webalizer são log de servidor da Web bem conhecido - > ferramentas estatísticas, talvez você possa usar um pouco disso.
Eu não sei o que é o site "de tamanho médio" para você. Mas, se for grande o suficiente para ter o banco de dados e o servidor da Web em dois servidores diferentes, você poderá usar um firewall de banco de dados, como, por exemplo, GreenSQL . Isso lhe dará mais algumas informações sobre como elas querem fazer isso. Mas você ainda precisará de um analisador de logs HTTP para descobrir onde eles estão atacando (de que forma eles tentam perder o uso).
Se você estiver usando o apache, você pode querer olhar para a implementação do mod_security ( link ) - ele pode fornecer um nível de proteção contra alguns tipos ataques, mesmo que o aplicativo subjacente seja vulnerável. Não pega tudo, mas pode ajudar na situação em que você não necessariamente controla o código que está sendo executado.
Aqui está uma pergunta um pouco semelhante que eu perguntei recentemente que pode ter uma solução para você:
Novo no Ubuntu Server, quais logs monitorar e o que fazer
Existem muitos analisadores de log gratuitos que lhe darão as mesmas informações. Faça uma pesquisa no Google, teste um pouco e veja o que você gosta.
Eu não acho que pararia de fazer o backup do site. Você deve sempre ter backups por aí. Muitas coisas podem acontecer que podem exigir esses backups.
Então, verifique os logs, faça backups, mantenha seu sistema com patches, use senhas strongs, firewall (alguém recentemente recomendou, etc ...
Tenho certeza de que você receberá alguns bons conselhos aqui.
Mesmo que você encontre as entradas pertencentes às kiddies de script, duvido que isso ajude você a fazer algo a respeito. Você não pode simplesmente bloqueá-los bloqueando esses endereços IP. A maioria das pessoas tem endereços IP dinâmicos atribuídos pelos seus ISPs.
Além disso, os arquivos de log não puderam mostrar todos os ataques. Por exemplo, e as tentativas de login de força bruta SSH?
O IMO, a única abordagem sensata para o seu problema, está tentando corrigir o máximo possível de falhas de segurança com esforço razoável e backups em caso de emergência.