Apache 2.4 logs incomuns

1

desde alguns dias, estou recebendo algumas tentativas de ataques de hackers, mas na verdade tudo parece bem.

mas eu vi alguns log que eu não pude explicar:

127.0.0.1:443 216.218.206.66 - - [09/Oct/2015:04:49:29 +0200] "GET / HTTP/1.1" 404 4857 "-" "-"
127.0.0.1:80 220.181.108.177 - - [09/Oct/2015:07:56:11 +0200] "-" 408 0 "-" "-"
127.0.0.1:443 199.115.117.88 - - [09/Oct/2015:10:35:04 +0200] "GET /admin/i18n/readme.txt HTTP/1.1" 404 5081 "-" "python-requests/2.8.0"

aqui está minha configuração de registro:

# - Exeption
SetEnvIf Request_URI "\.jpg$|\.jpeg$|\.gif$|\.png$|\.ico|\.icon|\.css$|\.js$|piwik\.php$|frogglogin\.php" dontlog
SetEnvIf User-agent "(bot|baidu)" dontlog

CustomLog ${APACHE_LOG_DIR}/access.log vhost_combined env=!dontlog
  • como é possível que as solicitações atinjam 127.0.0.1?
  • o que posso fazer para evitar erros 408?
  • eu deveria entrar em pânico para ver o tipo de ataque incomodo?

obrigado

PS:

é uma boa ideia?

<VirtualHost 127.0.0.1>
# [ Default restriction ]
<Directory />
    Order deny,allow
    Deny from all
    allow from 127.0.0.1
</Directory>
</VirtualHost>
    
por Froggiz 09.10.2015 / 11:31

2 respostas

0

É assim que eu pego isso:

Eu adicionei essa configuração após todo o host virtual definido, para capturar a solicitação "else" (a solicitação que não corresponde a nenhum outro host virtual). O mais importante é a posição virtual (last) e o comando ServerAlias *

#---------------#
# [ LOCALHOST ] #
#---------------#
# Local host for other:
# ServerName localhost
# ServerName 88.xxx.xxx.xxx
# ServerName xxxxxxxx.net
# and more ...
# need to be at the last position
<VirtualHost *:80 *:443>
# [ Server Domain ]
ServerName localhost
ServerAlias *
# [ Server Root ]
DocumentRoot /var/www/home/
# [ Cancel trafic ]
RewriteCond %{REQUEST_URI} !errors\/hack\.htm
RewriteRule .*? - [END,R=406]
# [ Custom Log ]
CustomLog ${APACHE_LOG_DIR}/hack.log combined
</VirtualHost>
    
por 27.11.2015 / 12:51
1

Não há como o endereço IP público chegar diretamente ao seu endereço de loopback. É a questão do NAT, onde provavelmente o apache traduz esses endereços IP para loopback porque ou você disse ao apache para fazer isso ou algum erro de configuração.

Não há pânico para isso, é normal ser atacado por botnets e / ou aplicativos automatizados projetados para tentar acessar páginas e assim por diante.

Quando essas tentativas estão em andamento, prefiro verificar com:

  netstat -an (or adding additional parameters)

Para verificar as conexões.

    
por 09.10.2015 / 12:21