我们的服务器最近受到了攻击,日志中的内容如下所示:
[Mon Feb 18 09:18:43 2019] [IP_ADDRESS] script '/var/www/ynm.php' not found or unable to stat
[Mon Feb 18 09:18:43 2019] [IP_ADDRESS] script '/var/www/71.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/wadre.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/vm.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/test.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/1q.php' not found or unable to stat
[Mon Feb 18 09:18:45 2019] [IP_ADDRESS] script '/var/www/1111.php' not found or unable to stat
[Mon Feb 18 09:18:45 2019] [IP_ADDRESS] script '/var/www/errors.php' not found or unable to stat
[Mon Feb 18 09:18:46 2019] [IP_ADDRESS] script '/var/www/q.php' not found or unable to stat
这些攻击有时会持续数小时并导致服务器冻结。
如何防止这种情况?fail2ban?
已手动禁止 IP 但每次都会改变。
谢谢!
答案1
这些都是常见现象。机器人会尝试查找不安全的脚本并加以利用。你无法真正避免这种情况,一旦你在互联网上拥有一个 Web 服务器,你就会看到这样的扫描。
但是,由于您在 AWS EC2 上运行,因此您有多种选择:
使用AWS WAF(Web 应用程序防火墙)保护您的网站免受恶意攻击。
使用AWS Shield- 管理 DDoS 保护。免费。
ETC...
无论如何,像这样扫描不应该冻结你的服务器。冻结可能是由其他原因造成的 - 可能是 DDoS(提示:使用AWS Shield) 或者某个 PHP 脚本的成功利用会消耗实例内存。
希望有帮助:)
答案2
你可以使用这个应用程序,它对我来说非常有用。它是 AWS ACL 的 Fail2ban 集成。
https://www.cloudar.be/integrating-fail2ban-with-aws-network-acls/