O que fazer com as entradas de log indicando ataques pretendidos no meu servidor

Navegue suas respostas
1

Desde a semana passada eu estou executando um servidor web (Apache2 no Ubuntu, acessível apenas por IP) e eu acho que estou mais vulnerável agora que eu não sei bem o que prestar atenção, então eu vou perguntar ao especialistas apenas no caso.

Ao olhar para os registros de acesso, posso rastrear a maioria dos acessos para mim mesmo. Depois, há várias solicitações GET únicas e inocentes, mas também alguns acessos suspeitos: acessos wget a arquivos de configuração, um ataque de injeção php pretendido, acessos destinados ao que parecem servidores de banco de dados etc. Todos esses pedidos foram negados btw.

Devo fazer algo sobre isso além de manter o software atualizado, etc., como reportá-los ou tomar medidas de segurança adicionais? Devo continuar monitorando os registros de acesso?

    
por doetoe 21.11.2017 / 09:13

1 resposta

1

Você pode querer se familiarizar com o fail2ban : é um software que monitora arquivos de log em busca de atividades suspeitas e proíbe o endereço IP de origem para o quantidade de tempo desejada, mesmo indefinidamente. Também é possível enviar uma notificação por e-mail com os detalhes da ameaça e a ação tomada.

Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs -- too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).

    
por 21.11.2017 / 10:21

Tags

Namespace DFS indisponível no login Como verificar porque uma gravação falhou? [fechadas]