Registros inusuales de Apache 2.4

tag-icon tag-icon security logging apache-2.4
Registros inusuales de Apache 2.4

Desde hace algunos días, estoy recibiendo algunos intentos de ataques de piratería, pero en realidad todo parece estar bien.

pero vi un registro que no pude explicar:

127.0.0.1:443 216.218.206.66 - - [09/Oct/2015:04:49:29 +0200] "GET / HTTP/1.1" 404 4857 "-" "-"
127.0.0.1:80 220.181.108.177 - - [09/Oct/2015:07:56:11 +0200] "-" 408 0 "-" "-"
127.0.0.1:443 199.115.117.88 - - [09/Oct/2015:10:35:04 +0200] "GET /admin/i18n/readme.txt HTTP/1.1" 404 5081 "-" "python-requests/2.8.0"

aquí está mi configuración de registro:

# - Exeption
SetEnvIf Request_URI "\.jpg$|\.jpeg$|\.gif$|\.png$|\.ico|\.icon|\.css$|\.js$|piwik\.php$|frogglogin\.php" dontlog
SetEnvIf User-agent "(bot|baidu)" dontlog

CustomLog ${APACHE_LOG_DIR}/access.log vhost_combined env=!dontlog
  • ¿Cómo es posible elegir solicitudes para llegar a 127.0.0.1?
  • ¿Qué puedo hacer para evitar errores 408?
  • ¿Debería entrar en pánico al ver ese tipo de ataques entrantes?

gracias

PD:

Es esta una buena idea ?

<VirtualHost 127.0.0.1>
# [ Default restriction ]
<Directory />
    Order deny,allow
    Deny from all
    allow from 127.0.0.1
</Directory>
</VirtualHost>

Respuesta1

No hay forma de que la dirección IP pública llegue directamente a su dirección de bucle invertido. Es una cuestión de NAT donde probablemente Apache traduce esas direcciones IP a loopback porque usted le dijo a Apache que lo hiciera o por alguna mala configuración.

No hay que entrar en pánico por tal cosa, es normal ser atacado por botnets y/o aplicaciones automatizadas diseñadas para intentar iniciar sesión en páginas, etc.

Cuando estos intentos estén en progreso, prefiero consultar con:

  netstat -an (or adding additional parameters)

Para comprobar las conexiones.

Respuesta2

Así es como me deshago de esto:

Agregué esta configuración después de definir todos los hosts virtuales, para detectar la solicitud "otra" (la solicitud que no coincide con ningún otro host virtual). Lo más importante es la posición virtual (última) y el comando.ServerAlias *

#---------------#
# [ LOCALHOST ] #
#---------------#
# Local host for other:
# ServerName localhost
# ServerName 88.xxx.xxx.xxx
# ServerName xxxxxxxx.net
# and more ...
# need to be at the last position
<VirtualHost *:80 *:443>
# [ Server Domain ]
ServerName localhost
ServerAlias *
# [ Server Root ]
DocumentRoot /var/www/home/
# [ Cancel trafic ]
RewriteCond %{REQUEST_URI} !errors\/hack\.htm
RewriteRule .*? - [END,R=406]
# [ Custom Log ]
CustomLog ${APACHE_LOG_DIR}/hack.log combined
</VirtualHost>

información relacionada