我们的服务器托管了超过一千个站点,其中一些似乎被恶意脚本劫持.这些脚本运行通常由合法用户执行的操作,在我们的服务器上造成严重的压力,并且通常需要我们重新启动以清除负载.我们没有办法找出它们是什么.最近这些袭击已经开始影响我们的日常运营.我们的错误日志文件大小为70mb,消息类似于以下内容:
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries) [timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.PHP (This is my TOP concern) [timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path [timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx',file '/path/to/index.PHP') [timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/ [timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1 [timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/ Invalid URI in request GET mydomain.com HTTP/1.0
我的问题是,我们可以做些什么来应对这些威胁?有没有办法根据某些行为禁止IP?我们仍在筛选日志并尝试确定行动方案.我们将非常感谢您提供的任何指南,参考资料或教程.
解决方法
>升级您的系统. Ubuntu 9.04在两年内没有获得安全更新.
>服务器配置拒绝客户端:/path/to/cron.PHP – 不要担心这个.该请求被Apache的配置阻止,攻击者获得了403 Forbidden响应.
> ALERT – efree()上的canary不匹配 – 检测到堆溢出(攻击者’xxx.xx.xxx.xxx’,文件’/ path/to/index.PHP’) – 这可能是一个主要问题 – 缓冲区溢出漏洞可以允许攻击者完全控制您的系统.另一方面,可能只是攻击者试图接管您的系统只是触发了PHP中的错误.
>服务器配置拒绝客户端:/path/to/cron.PHP – 不要担心这个.该请求被Apache的配置阻止,攻击者获得了403 Forbidden响应.
> ALERT – efree()上的canary不匹配 – 检测到堆溢出(攻击者’xxx.xx.xxx.xxx’,文件’/ path/to/index.PHP’) – 这可能是一个主要问题 – 缓冲区溢出漏洞可以允许攻击者完全控制您的系统.另一方面,可能只是攻击者试图接管您的系统只是触发了PHP中的错误.
系统可能已经受到损害;如有疑问,请从备份恢复.然后,将此系统升级到支持的和当前版本的操作系统,这也将更新您的应用程序包.看看你是否还有问题,如果有问题,可以通过彻底验证客户端输入数据来抵消缓冲区溢出.
