从上周起,我就在运行一个 Web 服务器(Ubuntu 上的 Apache2,只能通过 IP 访问),我认为现在我最容易受到攻击,因为我不知道要注意什么,所以我会向专家请教。
查看访问日志时,我可以追溯到我自己的大部分访问。然后有几个看似无害的单个 GET 请求,但也有一些更可疑的访问:对配置文件的 wget 访问、有预谋的 php 注入攻击、对看起来像数据库服务器的预谋访问等。顺便说一句,所有这些请求都被拒绝了。
除了保持软件更新等之外,我还应该做些什么,比如报告或采取额外的安全措施?我应该继续监控访问日志吗?
答案1
你可能想了解失败2ban:这是一款监控日志文件中可疑活动并禁止原始 IP 地址的软件,可限制其使用时间,甚至无限期。它还可以向您发送电子邮件通知,其中包含威胁详细信息和所采取的措施。
Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意迹象的 IP(密码错误次数过多、寻求漏洞等)。通常,Fail2Ban 用于更新防火墙规则,以在指定的时间内拒绝 IP 地址,尽管也可以配置任何其他操作(例如发送电子邮件)。开箱即用的 Fail2Ban 附带各种服务(apache、courier、ssh 等)的过滤器。