Ungewöhnliche Protokolle für Apache 2.4

tag-icon tag-icon security logging apache-2.4
Ungewöhnliche Protokolle für Apache 2.4

seit einigen Tagen bin ich einigen Hackerangriffen ausgesetzt, aber eigentlich scheint alles in Ordnung zu sein.

aber ich habe ein Protokoll gesehen, das ich nicht erklären konnte:

127.0.0.1:443 216.218.206.66 - - [09/Oct/2015:04:49:29 +0200] "GET / HTTP/1.1" 404 4857 "-" "-"
127.0.0.1:80 220.181.108.177 - - [09/Oct/2015:07:56:11 +0200] "-" 408 0 "-" "-"
127.0.0.1:443 199.115.117.88 - - [09/Oct/2015:10:35:04 +0200] "GET /admin/i18n/readme.txt HTTP/1.1" 404 5081 "-" "python-requests/2.8.0"

hier ist meine Protokollkonfiguration:

# - Exeption
SetEnvIf Request_URI "\.jpg$|\.jpeg$|\.gif$|\.png$|\.ico|\.icon|\.css$|\.js$|piwik\.php$|frogglogin\.php" dontlog
SetEnvIf User-agent "(bot|baidu)" dontlog

CustomLog ${APACHE_LOG_DIR}/access.log vhost_combined env=!dontlog
  • Wie ist es möglich, dass diese Anfragen 127.0.0.1 erreichen?
  • was kann ich tun, um 408-Fehler zu vermeiden?
  • Sollte ich in Panik geraten, wenn ich sehe, dass solche Angriffe bevorstehen?

Danke

PS:

ist das eine gute Idee?

<VirtualHost 127.0.0.1>
# [ Default restriction ]
<Directory />
    Order deny,allow
    Deny from all
    allow from 127.0.0.1
</Directory>
</VirtualHost>

Antwort1

Es gibt keine Möglichkeit, dass die öffentliche IP-Adresse direkt zu Ihrer Loopback-Adresse gelangt. Es ist eine Frage des NAT, wo Apache diese IP-Adressen wahrscheinlich in Loopbacks übersetzt, weil Sie Apache entweder dazu angewiesen haben oder es an einer Fehlkonfiguration liegt.

Deshalb besteht kein Grund zur Panik. Angriffe von Botnetzen und/oder automatisierten Apps, die darauf ausgelegt sind, Anmeldeseiten usw. zu manipulieren, sind normal.

Während dieser Versuche prüfe ich lieber Folgendes:

  netstat -an (or adding additional parameters)

Um die Verbindungen zu überprüfen.

Antwort2

So werde ich es los:

Ich habe diese Konfiguration nach allen definierten virtuellen Hosts hinzugefügt, um "else"-Anfragen (die Anfragen, die keinem anderen virtuellen Host entsprechen) abzufangen. Am wichtigsten sind die virtuelle Position (letzte) und der BefehlServerAlias *

#---------------#
# [ LOCALHOST ] #
#---------------#
# Local host for other:
# ServerName localhost
# ServerName 88.xxx.xxx.xxx
# ServerName xxxxxxxx.net
# and more ...
# need to be at the last position
<VirtualHost *:80 *:443>
# [ Server Domain ]
ServerName localhost
ServerAlias *
# [ Server Root ]
DocumentRoot /var/www/home/
# [ Cancel trafic ]
RewriteCond %{REQUEST_URI} !errors\/hack\.htm
RewriteRule .*? - [END,R=406]
# [ Custom Log ]
CustomLog ${APACHE_LOG_DIR}/hack.log combined
</VirtualHost>

verwandte Informationen