Zabezpečení web serveru

[Pleca]

Tohle info ktere dava Apache:

Forbidden

You don't have permission to access / on this server.

Apache/2.2.27 (Amazon) Server at ...

schovas kdyz do /etc/apache2/apache2.conf pridas:
ServerSignature Off
ServerTokens Prod

pak restartuj Apache

[Reklama]

[Pleca]

Sorry chyba spravne ma byt pridat:
ServerSignature Off
ServerTokens ProductOnly

[42]

Z citace logu vidím běhěm 1 vteřiny několik záznamů, které mají 712 bajtů. Jen z toho co vidím je to za týden nějakých 410 MB.

Jenže ty útoky neprobíhají takhle neustále. Jednou za čas to nějaký bot zkusí a za chvíli přestane.

Poddymenzovaný ten server bude, pokud se takové věci řešit nebudou

Tak proč se ptáš, když všechno víš nejlíp?

Protože díky blokování roboti poznají, že jsou zabanovaný a mnohdy už dál požadavky neposílají.

A jindy je zas pošlou z jiné IP. To sis pomohl

Pokud na server nasadim fail2ban či podobný nástroj a vytvořim pravidlo, bude každá další IP taktéž zablokována. Mě to stojí 5 minut času, nic víc.
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.

[Jenda]

Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.

Protože jsem ti právě zablokoval přístup na server.

[Mirek Prýmek]

Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.

Ale vzdyt jsem je uvedl - prijde ti utok z IP 173.194.116.151, zablokujes ji, prijde z 173.194.116.143, zablokujes ji, prijde z 173.194.116.159, zablokujes ji... Firewallova pravidla narustaji, odezva serveru se zhorsuje. Kolik tam tech pravidel budes drzet? Tisic? Sto tisic? Jak dlouho?

Chces se branit proti pomyslnemu* DoSu , ktery by teoreticky mohl ohrozovat server po dobu, kdy probiha, opatrenim, ktere muze zpusobit DoS i potom, co utok odezni - konkretne na tak dlouhou dobu, na jak dlouho tam nechas ta pravidla hnit.

Navic v dobe, kdy za jednou IP muzou byt stovky ruznych pocitacu, timhle s velkou pravdepodobnosti odstrihnes legitimni uzivatele.

Cili secteno podtrzeno, fail2ban bude v tomhle konkretnim pripade dobre reseni jenom pokud nezacne fungovat - cili vubec nejlepsi opatreni by to bylo, pokud by se vubec nenasadilo

Fail2ban neni nikdy dobry davat na sluzby, ktere maji byt verejne dostupne. Je to relativne dobry nastroj na ochranu specialnich zakouti, na ktera nemaji nepovolani co lozit


* pomyslnemu proto, ze tohle se proste bezne nedeje krome extra exponovanych serveru

[Reklama]

[Jan Forman]

Já se přikláním k ostatním, neřešit nesmysly. Pár řádků v logu nemůže žádný normální server příliš přibrzdit (nezapisuje se to najednou, ale po blokách). Pokud je výkon problém, tak se logování obvykle vypne nebo silně omezí. Na internetu si neustále nějaký robot něco zkouší a to všechny možné nesmysly (nemá vůbec smysl řešit jednotlivosti, objeví se jiné a jiné).

[Filip Jirsák]

Co přesně byste na tom chtěl "ošetřovat"?

Třeba:

Vy jste původní tazatel?

Já si dovedu představit milion věcí, co na tom ošetřovat, a bude to mít milion různých řešení. A taky si dovedu představit, že si prostě jen nějaký script kiddie hraje, což je jeho problém, serveru to nijak nevadí - a tedy není potřeba to řešit nijak.

Ale jak je to doopravdy, to nám může prozradit jen původní tazatel. Nemá smysl, aby si teď každý začal vymýšlet, že se mu tím ošoupávají elektrony v procesoru.

Pokud na server nasadim fail2ban či podobný nástroj a vytvořim pravidlo, bude každá další IP taktéž zablokována. Mě to stojí 5 minut času, nic víc.
Uveďte pádné důvody na základě faktů, proč se takovému problému nevěnovat, aby diskuze měla smysl.

Když na tom serveru úplně vypnete webový server, budou zablokovány všechny IP adresy, dokonce i ty, které se k útoku teprve chystají. A nepotřebujete k tomu ani 5 minut, stačí 5 sekund i s přihlášením.
Základní fakta jsou, že si nejprve musíte uvědomit, co se děje, následně to, jaký to způsobuje problém, a na závěr, jak ten problém řešit. Váš postup, kdy nejprve navrhnete "řešení", které daný problém pravděpodobně vůbec neřeší, zato vytváří několik nových problémů, není zrovna efektivní.

[vana-hb]

Pokud se nejedná o DOS útok, což tohle asi neni ten případ, tak bych to řešil snížením úrovně logování serveru. Kromě ladění stránek moc nevidim důvod proč by administrátora zajímalo že někdo zadal neexistující stránku - s tím se musí počítat. A pokud se jedná o nějakého robota, jako že ano, tak to bude chíli zkoušet a "půjde o dům dál". S tim se nedá moc dělat.

[vana-hb]

Pro zajímavost dávám výpis z jednoho logu patřícímu virtualhostu který má úplně prázdný adresář a používám ho jako výchozí pro domény které nechci aby zobrazili nějaký obsah na 80tce, ale zároveň maji dns záznam do mé sítě. Ta čubka robot se specializuje na hledání phpmyadmina. ... zkusí, nepochodí, jde o dům dál.

Kód: [Vybrat]

vychozi-error_log   [----]  0 L:[  1+ 0   1/ 32] *(0   /3256b) 0091 0x05B
[Mon Jun 30 19:31:23 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/phpTest
[Mon Jun 30 19:31:23 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/phpMyAdmin
[Mon Jun 30 19:31:24 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/pma
[Mon Jun 30 19:31:24 2014] [error] [client 198.50.140.18] File does not exist: /var/www/vychozi/myadmin
[Tue Jul 01 09:11:20 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/phpTest
[Tue Jul 01 09:11:21 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/phpMyAdmin
[Tue Jul 01 09:11:22 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/pma
[Tue Jul 01 09:11:23 2014] [error] [client 124.121.248.127] File does not exist: /var/www/vychozi/myadmin
[Wed Jul 02 10:15:37 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/phpTest
[Wed Jul 02 10:15:37 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/phpMyAdmin
[Wed Jul 02 10:15:38 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/pma
[Wed Jul 02 10:15:39 2014] [error] [client 200.8.99.5] File does not exist: /var/www/vychozi/myadmin
[Wed Jul 02 23:48:20 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/phpTest
[Wed Jul 02 23:48:20 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/phpMyAdmin
[Wed Jul 02 23:48:21 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/pma
[Wed Jul 02 23:48:21 2014] [error] [client 110.170.162.211] File does not exist: /var/www/vychozi/myadmin
[Thu Jul 03 06:45:13 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/phpTest
[Thu Jul 03 06:45:14 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/phpMyAdmin
[Thu Jul 03 06:45:15 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/pma
[Thu Jul 03 06:45:15 2014] [error] [client 203.151.252.19] File does not exist: /var/www/vychozi/myadmin
[Thu Jul 03 18:31:12 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/phpTest
[Thu Jul 03 18:31:12 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/phpMyAdmin
[Thu Jul 03 18:31:13 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/pma
[Thu Jul 03 18:31:14 2014] [error] [client 114.45.58.50] File does not exist: /var/www/vychozi/myadmin

[Mirek Prýmek]

Pro zajímavost dávám výpis z jednoho logu

No, tady je dobre videt, ze je to zatez nula, kterou nema smysl resit.