Szukaj
Wspomóż autora
Lubisz czytać ten blog? Przekaż dowolną darowiznę dla autora tego bloga, który chętnie wypije piwo, za Twoje zdrowie! :)Ankieta
Loading ...
Archiwa tagu: modsec
Konfiguracja fail2ban na serwerze z CentOS/httpd
Osoby posiadające swoje własne serwery pewnie nie raz zwróciły uwagę na plik error_log serwera www (apache, httpd) oraz informacje w nim zawarte, jak np.:
[Sun Oct 09 14:19:27 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpMyadmin [Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpMyAdmin [Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpmyAdmin [Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpmyadmin2 [Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/2phpmyadmin [Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpmy [Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phppma [Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/myadmin [Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/MyAdmin [Sun Oct 09 14:19:30 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/program
Z powyższych informacji można wywnioskować iż ktoś z PEWNEGO_IP próbował uzyskać dostęp do plików/katalogów, których nie ma na serwerze. Przeważnie są to jakieś boty, które przeszukują nasz serwer pod kątem panelu zarządzania bazą danych [1]Przeważnie, ale są również inne przypadki. Ja w większości miałem do czynienia z poszukiwaniem ścieżki do phpMyAdmina. Poza tymi zapytaniami również popularne są /admin, /administrator, … Continue reading.
Dla zainteresowanych powiem, że powyższy wycinek z logów, który zamieściłem to tylko część. W danym dniu z jednego adresu IP w ciągu niemal 2 minut wywołanych zostało aż 154 odwołań do nieistniejących plików/katalogów.
Jak zatem bronić się przed tego typu atakami na nasz serwer i jego zasoby? Logicznym rozwiązaniem wydaje się dodanie reguły do zapory systemowej i zablokowanie delikwenta. Jednakże nie jesteśmy zalogowani 24/h na naszym serwerze i nie monitorujemy ciągle logów. Wypadałoby zatem w jakiś sposób zautomatyzować tę czynność.
Wyjaśnienia
↑1 | Przeważnie, ale są również inne przypadki. Ja w większości miałem do czynienia z poszukiwaniem ścieżki do phpMyAdmina. Poza tymi zapytaniami również popularne są /admin, /administrator, /webadmin, itp. |
---|