O log do Apache preenchido com erros de proxy do IP de ataque

1

Eu tenho esses erros no log do Apache ...

proxy:error] [pid 13317] (110)Connection timed out: AH00957: HTTP: attempt to connect to 210.86.231.64:80 (*) failed
[proxy_http:error] [pid 13317] [client 5.39.116.17:56290] AH01114: HTTP: failed to make connection to backend: simsodep.com

Isso continua, repetido, ad infinitum. Eu envio o proxy do Apache para o JBoss.

No: 80 config ...

SetEnvIfNoCase User-Agent "^ApacheBench/2.3" bad_bot
<Proxy https://exampledev.com/*>
    Require all denied
    Deny from env=bad_bot
    Require ip 12.34.56.78
    Require host exampledev.com
</Proxy>
Redirect permanent / https://exampledev.com

E no: 443 config ...

<Proxy https://exampledev.com/*>
    Require all denied
    Deny from env=bad_bot
    Require host exampledev.com
    Require ip 12.34.56.78
</Proxy>

No meu firewall, através do ufw, eu tenho ...

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 443                        ALLOW IN    Anywhere
[ 3] 80                         ALLOW IN    Anywhere
[ 4] Anywhere                   DENY IN     210.86.231.64
[ 5] Anywhere                   DENY IN     5.39.116.17
[ 6] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 7] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 8] 80 (v6)                    ALLOW IN    Anywhere (v6)

Por que meu arquivo de log do Apache 2.4 está cheio de shows desses erros de proxy? O que estou perdendo?

    
por forresttales 08.12.2015 / 11:11

1 resposta

0

Você precisa corrigir o seu pedido de regras de firewall.

A ordem das regras de firewall é muito importante, pois elas são processadas / correspondidas em ordem. Portanto, se houver uma regra de permissão correspondida primeiro, a regra de negação que vem depois não funcionará como esperado.

Altere as regras para que as regras de negação estejam no topo ou correspondam antes de todas as outras regras de aceitação. Eles devem ficar assim:

     To                         Action      From
     --                         ------      ----
[ 1] Anywhere                   DENY IN     210.86.231.64
[ 2] Anywhere                   DENY IN     5.39.116.17
[ 3] 80                         ALLOW IN    Anywhere
[ 4] 22                         ALLOW IN    Anywhere
[ 5] 443                        ALLOW IN    Anywhere
[ 6] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 7] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 8] 80 (v6)                    ALLOW IN    Anywhere (v6)

Bem, é claro que essa não é a maneira ideal de banir o ip um por vez. Proteger seu servidor da Web é um problema mais amplo e há muitos materiais disponíveis on-line.

Quanto ao firewall, você pode tentar o fail2ban:

Como se Proteger um servidor Apache com Fail2Ban no Ubuntu 14.04

    
por 08.12.2015 / 11:35