Auf unserem Server sind über tausend Websites gehostet, und einige davon scheinen von bösartigen Skripten gekapert worden zu sein. Diese Skripte führen massenhaft Aktionen aus, die normalerweise von einem legitimen Benutzer ausgeführt werden, was zu einer starken Belastung unseres Servers führt und häufig einen Neustart erfordert, um die Belastung zu beseitigen. Wir haben keine Möglichkeit, herauszufinden, was sie sind. Seit kurzem beeinträchtigen diese Angriffe auch unseren täglichen Betrieb. Unsere Fehlerprotokolldatei ist 70 MB groß und enthält Meldungen ähnlich der folgenden:
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0
Unsere DB-Protokolldatei ist über 5 GB groß.
Meine Frage ist, was können wir tun, um diesen Bedrohungen entgegenzuwirken? Gibt es eine Möglichkeit, IPs aufgrund eines bestimmten Verhaltens zu sperren? Wir durchforsten immer noch unsere Protokolle und versuchen, eine Vorgehensweise festzulegen. Wir wären für alle Anleitungen, Referenzen oder Tutorials, die wir bereitstellen könnten, sehr dankbar.
Antwort1
- Aktualisieren Sie Ihr System. Ubuntu 9.04 hat seit zwei Jahren kein Sicherheitsupdate erhalten.
client denied by server configuration: /path/to/cron.php- Machen Sie sich darüber keine Sorgen. Die Anfrage wurde durch die Apache-Konfiguration blockiert und der Angreifer hat eine403 ForbiddenAntwort erhalten.ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')- Dies kann möglicherweise ein großes Problem darstellen – eine Pufferüberlauf-Sicherheitslücke kann einem Angreifer die vollständige Kontrolle über Ihr System ermöglichen. Andererseits kann es auch sein, dass die Versuche des Angreifers, Ihr System zu übernehmen, einfach einen Fehler in PHP ausgelöst haben.
Das System ist möglicherweise bereits beeinträchtigt. Stellen Sie es im Zweifelsfall aus einer Sicherungskopie wieder her. Aktualisieren Sie das System anschließend auf unterstützte und aktuelle Versionen des Betriebssystems. Dadurch werden auch Ihre Anwendungspakete aktualisiert. Prüfen Sie, ob weiterhin Probleme auftreten. Wenn ja, versuchen Sie, den Pufferüberlauf zu verhindern, indem Sie die Client-Eingabedaten gründlich validieren.