Zabezpečení web serveru

[Garofano]

Ahoj,

mám u Amazonu jednu instanci na který mi běží pár věcí. Všechno je v pohodě. Když se ale podívám do error logu mám hromadu podobného:

Kód: [Vybrat]

[Sat Jun 28 07:45:12 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.ssh
[Sat Jun 28 07:45:12 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.bash_history
[Sat Jun 28 07:45:12 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.history
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.sh_history
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.bitcoin
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.litecoin
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.psi
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.purple
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/.mozilla
[Sat Jun 28 07:45:13 2014] [error] [client 178.254.20.58] File does not exist: /var/www/html/id_ecdsa
Je mi jasný, že to někdo skenuje a zkouší přes public DNS. Ne že by mě to trápilo, ale dá se to nějak ošetřit?

Projekty mi klasicky běží v podadresářích /var/www/html/projekt.cz etc..

Díky za rady.

[Reklama]

[Wily]

Zabanuj tu ip adresu, nebo můžeš napsat skript, kterej bude banovat všechny ip adresy, který se pokusí tohle hledat.

[Wily]

Jo a ještě jedna věc, říct apache nebo nginx, aby o sobě neřikal víc než je nutný, tohle vypadá spíš na Apache.

[Garofano]

Ty adresy se samosebou mění...

[Garofano]

Je to apache a řekne na to jen:

Forbidden

You don't have permission to access / on this server.

Apache/2.2.27 (Amazon) Server at ...

[Reklama]

[42]

Nainstaluj si fail2ban a vytvoř v něm pravidlo pro zablokování IP pokud se z ní v logu objeví třeba 10 chybných požadavků během 10 vteřin.

[42]

PS: http://www.fail2ban.org/wiki/index.php/Apache#PHP

[Filip Jirsák]

Co přesně byste na tom chtěl "ošetřovat"? Klient požádal o soubor, server zjistil, že takový soubor neexistuje, zapsal to do logu a vrátil  klientovi informaci, že takový soubor neexistuje nebo že k němu nemá přístup. Co vám na tom vadí?

[42]

Co přesně byste na tom chtěl "ošetřovat"? Klient požádal o soubor, server zjistil, že takový soubor neexistuje, zapsal to do logu a vrátil  klientovi informaci, že takový soubor neexistuje nebo že k němu nemá přístup. Co vám na tom vadí?

Třeba:
- Server zvládne omezený počet požadavků v jeden moment a docházelo by pak k jeho zahlcování
- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku

[Mirek Prýmek]

- Server zvládne omezený počet požadavků v jeden moment a docházelo by pak k jeho zahlcování

Až něco takového začne být problém, můžeš to řešit. Do té doby je to zbytečná námaha. Navíc tihle boti obvykle negenerují takovou zátěž, aby ti to muselo vadit. Pokud by ti to vadilo, tak by to samo o sobě znamenalo, že máš ten server poddimenzovaný...

Zavedení věcí typu fail2ban zase můžou vést k tomu, že ti zbytečně narostou firewallová pravidla, což je horší než to, co chceš řešit.

Čili rada: Neřeš neexistující problémy

- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku

To je to samý - kolik místa na disku ti to zaplácne? Týdenní logy tak 10MB? Sere pes...

Jinak pokud by to byl problém, tak to musíš řešit nějakým komplexnějším řešením pro logování. To je dost obsáhlý téma, který by sis musel nastudovat...

[Jenda]

- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku

Proč tedy řešíš nějaké blokování místo toho, aby sis nastavil svůj logovací systém, aby toto nelogoval?

[42]

- Server zvládne omezený počet požadavků v jeden moment a docházelo by pak k jeho zahlcování

Až něco takového začne být problém, můžeš to řešit. Do té doby je to zbytečná námaha. Navíc tihle boti obvykle negenerují takovou zátěž, aby ti to muselo vadit. Pokud by ti to vadilo, tak by to samo o sobě znamenalo, že máš ten server poddimenzovaný...

Zavedení věcí typu fail2ban zase můžou vést k tomu, že ti zbytečně narostou firewallová pravidla, což je horší než to, co chceš řešit.

Čili rada: Neřeš neexistující problémy

- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku

To je to samý - kolik místa na disku ti to zaplácne? Týdenní logy tak 10MB? Sere pes...

Jinak pokud by to byl problém, tak to musíš řešit nějakým komplexnějším řešením pro logování. To je dost obsáhlý téma, který by sis musel nastudovat...

Z citace logu vidím běhěm 1 vteřiny několik záznamů, které mají 712 bajtů. Jen z toho co vidím je to za týden nějakých 410 MB.
Poddymenzovaný ten server bude, pokud se takové věci řešit nebudou. Ovšem vy jste jiného názoru, nevadí

[42]

- Vytěžuje to jen díky blbému zapisování do logu, což i zbytečně plácá místo na disku

Proč tedy řešíš nějaké blokování místo toho, aby sis nastavil svůj logovací systém, aby toto nelogoval?

Protože díky blokování roboti poznají, že jsou zabanovaný a mnohdy už dál požadavky neposílají.

[Mirek Prýmek]

Z citace logu vidím běhěm 1 vteřiny několik záznamů, které mají 712 bajtů. Jen z toho co vidím je to za týden nějakých 410 MB.

Jenže ty útoky neprobíhají takhle neustále. Jednou za čas to nějaký bot zkusí a za chvíli přestane.

Poddymenzovaný ten server bude, pokud se takové věci řešit nebudou

Tak proč se ptáš, když všechno víš nejlíp?

Protože díky blokování roboti poznají, že jsou zabanovaný a mnohdy už dál požadavky neposílají.

A jindy je zas pošlou z jiné IP. To sis pomohl

[Mirek Prýmek]

Tak proč se ptáš, když všechno víš nejlíp?

Pardon, spletl jsem si nicky