우리 서버는 수천 개가 넘는 사이트를 호스팅하고 있으며 그 중 일부는 악성 스크립트에 의해 하이재킹된 것 같습니다. 이러한 스크립트는 일반적으로 합법적인 사용자가 한꺼번에 수행하는 작업을 실행하여 서버에 심각한 스트레스를 일으키고 로드를 지우려면 다시 시작해야 하는 경우가 많습니다. 우리는 그들이 무엇인지 알아낼 방법이 없습니다. 최근 이러한 공격이 우리의 일상 업무에 영향을 미치기 시작했습니다. 오류 로그 파일 크기는 70MB이며 다음과 유사한 메시지가 포함되어 있습니다.
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0
DB 로그 파일 크기가 5GB를 초과합니다.
제 질문은 이러한 위협에 대응하기 위해 우리가 무엇을 할 수 있느냐는 것입니다. 특정 행동에 따라 IP를 차단하는 방법이 있나요? 우리는 여전히 로그를 조사하고 조치 방향을 결정하려고 노력하고 있습니다. 제공될 수 있는 모든 가이드, 참조 또는 튜토리얼을 높이 평가하겠습니다.
답변1
- 시스템을 업그레이드하세요. Ubuntu 9.04는 2년 동안 보안 업데이트를 받지 못했습니다.
client denied by server configuration: /path/to/cron.php- 이건 걱정하지 마세요. 해당 요청은 Apache의 구성에 의해 차단되었으며 공격자는 응답 을 받았습니다403 Forbidden.ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')- 이는 잠재적으로 심각한 문제가 될 수 있습니다. 버퍼 오버플로 취약점으로 인해 공격자가 시스템을 완전히 제어할 수 있습니다. 반면에, 시스템을 장악하려는 공격자의 시도가 단순히 PHP의 버그를 유발했을 수도 있습니다.
시스템이 이미 손상되었을 수 있습니다. 의심스러운 경우 백업에서 복원하세요. 그런 다음 이 시스템을 지원되는 최신 버전의 OS로 업그레이드하면 애플리케이션 패키지도 업데이트됩니다. 여전히 문제가 있는지 확인하고, 그렇다면 클라이언트 입력 데이터를 철저하게 검증하여 버퍼 오버플로에 대응하세요.