![如何处理表明我的服务器有攻击意图的日志条目](https://linux22.com/image/713722/%E5%A6%82%E4%BD%95%E5%A4%84%E7%90%86%E8%A1%A8%E6%98%8E%E6%88%91%E7%9A%84%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%9C%89%E6%94%BB%E5%87%BB%E6%84%8F%E5%9B%BE%E7%9A%84%E6%97%A5%E5%BF%97%E6%9D%A1%E7%9B%AE.png)
从上周起,我就在运行一个 Web 服务器(Ubuntu 上的 Apache2,只能通过 IP 访问),我认为现在我最容易受到攻击,因为我不知道要注意什么,所以我会向专家请教。
查看访问日志时,我可以追溯到我自己的大部分访问。然后有几个看似无害的单个 GET 请求,但也有一些更可疑的访问:对配置文件的 wget 访问、有预谋的 php 注入攻击、对看起来像数据库服务器的预谋访问等。顺便说一句,所有这些请求都被拒绝了。
除了保持软件更新等之外,我还应该做些什么,比如报告或采取额外的安全措施?我应该继续监控访问日志吗?
答案1
你可能想了解失败2ban:这是一款监控日志文件中可疑活动并禁止原始 IP 地址的软件,可限制其使用时间,甚至无限期。它还可以向您发送电子邮件通知,其中包含威胁详细信息和所采取的措施。
Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意迹象的 IP(密码错误次数过多、寻求漏洞等)。通常,Fail2Ban 用于更新防火墙规则,以在指定的时间内拒绝 IP 地址,尽管也可以配置任何其他操作(例如发送电子邮件)。开箱即用的 Fail2Ban 附带各种服务(apache、courier、ssh 等)的过滤器。