私たちのサーバーは1000以上のサイトをホストしており、それらのいくつかは悪意のあるスクリプトによって乗っ取られたようです。これらのスクリプトは、通常は正当なユーザーによってまとめて実行されるアクションを実行し、サーバーに深刻なストリーを引き起こし、多くの場合、負荷をクリアするために再起動する必要があります。それらが何であるかを知る方法がありません。最近、これらの攻撃は私たちの日常業務に影響を及ぼし始めています。エラーログファイルのサイズは70MBで、次のようなメッセージが表示されます。
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0
DBログファイルのサイズが5GBを超えています。
私の質問は、これらの脅威に対抗するために何ができるかということです。特定の動作に基づいてIPを禁止する方法はありますか?私たちはまだログをふるいにかけ、行動方針を決定しようとしています。提供できるガイド、リファレンス、またはチュートリアルをいただければ幸いです。
client denied by server configuration: /path/to/cron.php
_-これについては心配しないでください。リクエストはApacheの設定によってブロックされ、攻撃者は_403 Forbidden
_応答を受け取りました。ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
-これは潜在的に大きな問題になる可能性があります-バッファオーバーフローの脆弱性により、攻撃者がシステムを完全に制御できる可能性があります。一方、攻撃者がシステムを乗っ取ろうとしただけで、PHPのバグが発生した可能性があります。システムはすでに侵害されている可能性があります。疑わしい場合は、バックアップから復元してください。次に、このシステムをサポートされている現在のバージョンのOSにアップグレードします。これにより、アプリケーションパッケージも更新されます。それでも問題が発生するかどうかを確認し、問題が発生する場合は、クライアントの入力データを徹底的に検証して、バッファオーバーフローを打ち消すようにします。