弊社のサーバーは 1,000 以上のサイトをホストしていますが、そのうちのいくつかは悪意のあるスクリプトに乗っ取られているようです。これらのスクリプトは、通常正当なユーザーが実行するアクションを大量に実行し、サーバーに深刻な負荷をかけ、負荷を解消するために再起動が必要になることがよくあります。それが何であるかを調べる方法はありません。最近、これらの攻撃が日常業務に影響を及ぼし始めています。エラー ログ ファイルのサイズは 70 MB で、次のようなメッセージが含まれています。
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0
当社の DB ログ ファイルのサイズは 5 GB を超えています。
私の質問は、これらの脅威に対抗するには何ができるのかということです。特定の行動に基づいて IP を禁止する方法はありますか? 私たちはまだログを精査し、行動方針を決定しようとしています。提供できるガイド、参考資料、チュートリアルがあれば、ぜひ教えてください。
答え1
- システムをアップグレードしてください。 Ubuntu 9.04 は 2 年間セキュリティ アップデートを受けていません。
client denied by server configuration: /path/to/cron.php- これについては心配しないでください。リクエストは Apache の設定によってブロックされ、攻撃者は応答を受け取りました403 Forbidden。ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')- これは潜在的に大きな問題になる可能性があります。バッファ オーバーフローの脆弱性により、攻撃者がシステムを完全に制御できるようになる可能性があります。一方、攻撃者がシステムを乗っ取ろうとしただけで、PHP のバグが引き起こされただけである可能性もあります。
システムがすでに侵害されている可能性があります。疑わしい場合は、バックアップから復元してください。次に、このシステムをサポートされている最新バージョンの OS にアップグレードします。これにより、アプリケーション パッケージも更新されます。まだ問題が発生するかどうかを確認し、発生する場合は、クライアントの入力データを徹底的に検証して、バッファ オーバーフローに対抗します。