Fórum Root.cz
Hlavní témata => Server => Téma založeno: Garofano 28. 06. 2014, 20:00:39
-
Ahoj,
mám u Amazonu jednu instanci na který mi běží pár věcí. Všechno je v pohodě. Když se ale podívám do error logu mám hromadu podobného:
[Sat Jun 28 07:45:12 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.ssh
[Sat Jun 28 07:45:12 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.bash_history
[Sat Jun 28 07:45:12 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.history
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.sh_history
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.bitcoin
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.litecoin
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.psi
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.purple
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.mozilla
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/id_ecdsa
Je mi jasný, že to někdo skenuje a zkouší přes public DNS. Ne že by mě to trápilo, ale dá se to nějak ošetřit?
Projekty mi klasicky běží v podadresářích /var/www/html/projekt.cz etc..
Díky za rady.
-
Zabanuj tu ip adresu, nebo můžeš napsat skript, kterej bude banovat všechny ip adresy, který se pokusí tohle hledat.
-
Jo a ještě jedna věc, říct apache nebo nginx, aby o sobě neřikal víc než je nutný, tohle vypadá spíš na Apache.
-
Ty adresy se samosebou mění...
-
Je to apache a řekne na to jen:
Forbidden
You don't have permission to access / on this server.
Apache/2.2.27 (Amazon) Server at ...
-
Nainstaluj si fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page) a vytvoř v něm pravidlo pro zablokování IP pokud se z ní v logu objeví třeba 10 chybných požadavků během 10 vteřin.
-
PS: http://www.fail2ban.org/wiki/index.php/Apache#PHP
-
Co přesně byste na tom chtěl "ošetřovat"? Klient požádal o soubor, server zjistil, že takový soubor neexistuje, zapsal to do logu a vrátil klientovi informaci, že takový soubor neexistuje nebo že k němu nemá přístup. Co vám na tom vadí?
-
Co přesně byste na tom chtěl "ošetřovat"? Klient požádal o soubor, server zjistil, že takový soubor neexistuje, zapsal to do logu a vrátil klientovi informaci, že takový soubor neexistuje nebo že k němu nemá přístup. Co vám na tom vadí?
Třeba:
- Server zvládne omezený počet požadavků v jeden moment a docházelo by pak k jeho zahlcování
- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku
-
- Server zvládne omezený počet požadavků v jeden moment a docházelo by pak k jeho zahlcování
Až něco takového začne být problém, můžeš to řešit. Do té doby je to zbytečná námaha. Navíc tihle boti obvykle negenerují takovou zátěž, aby ti to muselo vadit. Pokud by ti to vadilo, tak by to samo o sobě znamenalo, že máš ten server poddimenzovaný...
Zavedení věcí typu fail2ban zase můžou vést k tomu, že ti zbytečně narostou firewallová pravidla, což je horší než to, co chceš řešit.
Čili rada: Neřeš neexistující problémy :)
- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku
To je to samý - kolik místa na disku ti to zaplácne? Týdenní logy tak 10MB? Sere pes...
Jinak pokud by to byl problém, tak to musíš řešit nějakým komplexnějším řešením pro logování. To je dost obsáhlý téma, který by sis musel nastudovat...
-
- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku
Proč tedy řešíš nějaké blokování místo toho, aby sis nastavil svůj logovací systém, aby toto nelogoval?
-
- Server zvládne omezený počet požadavků v jeden moment a docházelo by pak k jeho zahlcování
Až něco takového začne být problém, můžeš to řešit. Do té doby je to zbytečná námaha. Navíc tihle boti obvykle negenerují takovou zátěž, aby ti to muselo vadit. Pokud by ti to vadilo, tak by to samo o sobě znamenalo, že máš ten server poddimenzovaný...
Zavedení věcí typu fail2ban zase můžou vést k tomu, že ti zbytečně narostou firewallová pravidla, což je horší než to, co chceš řešit.
Čili rada: Neřeš neexistující problémy :)
- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku
To je to samý - kolik místa na disku ti to zaplácne? Týdenní logy tak 10MB? Sere pes...
Jinak pokud by to byl problém, tak to musíš řešit nějakým komplexnějším řešením pro logování. To je dost obsáhlý téma, který by sis musel nastudovat...
Z citace logu vidím běhěm 1 vteřiny několik záznamů, které mají 712 bajtů. Jen z toho co vidím je to za týden nějakých 410 MB.
Poddymenzovaný ten server bude, pokud se takové věci řešit nebudou. Ovšem vy jste jiného názoru, nevadí ;)
-
- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku
Proč tedy řešíš nějaké blokování místo toho, aby sis nastavil svůj logovací systém, aby toto nelogoval?
Protože díky blokování roboti poznají, že jsou zabanovaný a mnohdy už dál požadavky neposílají.
-
Z citace logu vidím běhěm 1 vteřiny několik záznamů, které mají 712 bajtů. Jen z toho co vidím je to za týden nějakých 410 MB.
Jenže ty útoky neprobíhají takhle neustále. Jednou za čas to nějaký bot zkusí a za chvíli přestane.
Poddymenzovaný ten server bude, pokud se takové věci řešit nebudou
Tak proč se ptáš, když všechno víš nejlíp? :)
Protože díky blokování roboti poznají, že jsou zabanovaný a mnohdy už dál požadavky neposílají.
A jindy je zas pošlou z jiné IP. To sis pomohl :)
-
Tak proč se ptáš, když všechno víš nejlíp? :)
Pardon, spletl jsem si nicky :)
-
Tohle info ktere dava Apache:
Forbidden
You don't have permission to access / on this server.
Apache/2.2.27 (Amazon) Server at ...
schovas kdyz do /etc/apache2/apache2.conf pridas:
ServerSignature Off
ServerTokens Prod
pak restartuj Apache
-
Sorry chyba :) spravne ma byt pridat:
ServerSignature Off
ServerTokens ProductOnly
-
Z citace logu vidím běhěm 1 vteřiny několik záznamů, které mají 712 bajtů. Jen z toho co vidím je to za týden nějakých 410 MB.
Jenže ty útoky neprobíhají takhle neustále. Jednou za čas to nějaký bot zkusí a za chvíli přestane.
Poddymenzovaný ten server bude, pokud se takové věci řešit nebudou
Tak proč se ptáš, když všechno víš nejlíp? :)
Protože díky blokování roboti poznají, že jsou zabanovaný a mnohdy už dál požadavky neposílají.
A jindy je zas pošlou z jiné IP. To sis pomohl :)
Pokud na server nasadim fail2ban či podobný nástroj a vytvořim pravidlo, bude každá další IP taktéž zablokována. Mě to stojí 5 minut času, nic víc.
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.
-
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.
(http://178.254.20.58/my.php)
(http://178.254.20.58/european.php)
(http://178.254.20.58/dream.php)
(http://178.254.20.58/does.php)
(http://178.254.20.58/not.php)
(http://178.254.20.58/bablbam.php)
Protože jsem ti právě zablokoval přístup na server.
-
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.
Ale vzdyt jsem je uvedl - prijde ti utok z IP 173.194.116.151, zablokujes ji, prijde z 173.194.116.143, zablokujes ji, prijde z 173.194.116.159, zablokujes ji... Firewallova pravidla narustaji, odezva serveru se zhorsuje. Kolik tam tech pravidel budes drzet? Tisic? Sto tisic? Jak dlouho?
Chces se branit proti pomyslnemu* DoSu , ktery by teoreticky mohl ohrozovat server po dobu, kdy probiha, opatrenim, ktere muze zpusobit DoS i potom, co utok odezni - konkretne na tak dlouhou dobu, na jak dlouho tam nechas ta pravidla hnit.
Navic v dobe, kdy za jednou IP muzou byt stovky ruznych pocitacu, timhle s velkou pravdepodobnosti odstrihnes legitimni uzivatele.
Cili secteno podtrzeno, fail2ban bude v tomhle konkretnim pripade dobre reseni jenom pokud nezacne fungovat - cili vubec nejlepsi opatreni by to bylo, pokud by se vubec nenasadilo ;)
Fail2ban neni nikdy dobry davat na sluzby, ktere maji byt verejne dostupne. Je to relativne dobry nastroj na ochranu specialnich zakouti, na ktera nemaji nepovolani co lozit :)
* pomyslnemu proto, ze tohle se proste bezne nedeje krome extra exponovanych serveru
-
Já se přikláním k ostatním, neřešit nesmysly. Pár řádků v logu nemůže žádný normální server příliš přibrzdit (nezapisuje se to najednou, ale po blokách). Pokud je výkon problém, tak se logování obvykle vypne nebo silně omezí. Na internetu si neustále nějaký robot něco zkouší a to všechny možné nesmysly (nemá vůbec smysl řešit jednotlivosti, objeví se jiné a jiné).
-
Co přesně byste na tom chtěl "ošetřovat"?
Třeba:
Vy jste původní tazatel?
Já si dovedu představit milion věcí, co na tom ošetřovat, a bude to mít milion různých řešení. A taky si dovedu představit, že si prostě jen nějaký script kiddie hraje, což je jeho problém, serveru to nijak nevadí - a tedy není potřeba to řešit nijak.
Ale jak je to doopravdy, to nám může prozradit jen původní tazatel. Nemá smysl, aby si teď každý začal vymýšlet, že se mu tím ošoupávají elektrony v procesoru.
Pokud na server nasadim fail2ban či podobný nástroj a vytvořim pravidlo, bude každá další IP taktéž zablokována. Mě to stojí 5 minut času, nic víc.
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.
Když na tom serveru úplně vypnete webový server, budou zablokovány všechny IP adresy, dokonce i ty, které se k útoku teprve chystají. A nepotřebujete k tomu ani 5 minut, stačí 5 sekund i s přihlášením.
Základní fakta jsou, že si nejprve musíte uvědomit, co se děje, následně to, jaký to způsobuje problém, a na závěr, jak ten problém řešit. Váš postup, kdy nejprve navrhnete "řešení", které daný problém pravděpodobně vůbec neřeší, zato vytváří několik nových problémů, není zrovna efektivní.
-
Pokud se nejedná o DOS útok, což tohle asi neni ten případ, tak bych to řešil snížením úrovně logování serveru. Kromě ladění stránek moc nevidim důvod proč by administrátora zajímalo že někdo zadal neexistující stránku - s tím se musí počítat. A pokud se jedná o nějakého robota, jako že ano, tak to bude chíli zkoušet a "půjde o dům dál". S tim se nedá moc dělat.
-
Pro zajímavost dávám výpis z jednoho logu patřícímu virtualhostu který má úplně prázdný adresář a používám ho jako výchozí pro domény které nechci aby zobrazili nějaký obsah na 80tce, ale zároveň maji dns záznam do mé sítě. Ta čubka robot se specializuje na hledání phpmyadmina. ... zkusí, nepochodí, jde o dům dál.
vychozi-error_log [----] 0 L:[ 1+ 0 1/ 32] *(0 /3256b) 0091 0x05B
[Mon Jun 30 19:31:23 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/phpTest
[Mon Jun 30 19:31:23 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/phpMyAdmin
[Mon Jun 30 19:31:24 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/pma
[Mon Jun 30 19:31:24 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/myadmin
[Tue Jul 01 09:11:20 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/phpTest
[Tue Jul 01 09:11:21 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/phpMyAdmin
[Tue Jul 01 09:11:22 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/pma
[Tue Jul 01 09:11:23 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/myadmin
[Wed Jul 02 10:15:37 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/phpTest
[Wed Jul 02 10:15:37 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/phpMyAdmin
[Wed Jul 02 10:15:38 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/pma
[Wed Jul 02 10:15:39 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/myadmin
[Wed Jul 02 23:48:20 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/phpTest
[Wed Jul 02 23:48:20 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/phpMyAdmin
[Wed Jul 02 23:48:21 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/pma
[Wed Jul 02 23:48:21 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/myadmin
[Thu Jul 03 06:45:13 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/phpTest
[Thu Jul 03 06:45:14 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/phpMyAdmin
[Thu Jul 03 06:45:15 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/pma
[Thu Jul 03 06:45:15 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/myadmin
[Thu Jul 03 18:31:12 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/phpTest
[Thu Jul 03 18:31:12 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/phpMyAdmin
[Thu Jul 03 18:31:13 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/pma
[Thu Jul 03 18:31:14 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/myadmin
-
Pro zajímavost dávám výpis z jednoho logu
No, tady je dobre videt, ze je to zatez nula, kterou nema smysl resit.