Amazon EC2 实例被不同的 PHP 文件名垃圾邮件攻击

Amazon EC2 实例被不同的 PHP 文件名垃圾邮件攻击

我们的服务器最近受到了攻击,日志中的内容如下所示:

[Mon Feb 18 09:18:43 2019] [IP_ADDRESS] script '/var/www/ynm.php' not found or unable to stat
[Mon Feb 18 09:18:43 2019] [IP_ADDRESS] script '/var/www/71.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/wadre.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/vm.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/test.php' not found or unable to stat
[Mon Feb 18 09:18:44 2019] [IP_ADDRESS] script '/var/www/1q.php' not found or unable to stat
[Mon Feb 18 09:18:45 2019] [IP_ADDRESS] script '/var/www/1111.php' not found or unable to stat
[Mon Feb 18 09:18:45 2019] [IP_ADDRESS] script '/var/www/errors.php' not found or unable to stat
[Mon Feb 18 09:18:46 2019] [IP_ADDRESS] script '/var/www/q.php' not found or unable to stat

这些攻击有时会持续数小时并导致服务器冻结。

如何防止这种情况?fail2ban?

已手动禁止 IP 但每次都会改变。

谢谢!

答案1

这些都是常见现象。机器人会尝试查找不安全的脚本并加以利用。你无法真正避免这种情况,一旦你在互联网上拥有一个 Web 服务器,你就会看到这样的扫描。

但是,由于您在 AWS EC2 上运行,因此您有多种选择:

  1. 使用AWS WAF(Web 应用程序防火墙)保护您的网站免受恶意攻击。

  2. 使用AWS Shield- 管理 DDoS 保护。免费。

  3. ETC...

无论如何,像这样扫描不应该冻结你的服务器。冻结可能是由其他原因造成的 - 可能是 DDoS(提示:使用AWS Shield) 或者某个 PHP 脚本的成功利用会消耗实例内存。

希望有帮助:)

答案2

你可以使用这个应用程序,它对我来说非常有用。它是 AWS ACL 的 Fail2ban 集成。

https://www.cloudar.be/integrating-fail2ban-with-aws-network-acls/

相关内容