Apache / Ubuntu 9.04: Comment puis-je confronter des menaces et améliorer la sécurité de mon environnement de serveur?

Plus de mille sites sont situés sur notre serveur, et certains d'entre eux semblent être piratés par des scripts malveillants. Ces scénarios lancent des actions généralement effectuées par l'utilisateur juridique de manière massive, provoquant des flux sérieux sur notre serveur et exigeant souvent un redémarrage de réinitialiser la charge. Nous n'avons pas l'occasion de savoir ce que c'est. Récemment, ces attaques ont commencé à influencer nos activités quotidiennes. Notre fichier journal d'erreur a une taille 70 MB avec des messages similaires à ceux suivants:

[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries)
[timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern)
[timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path
[timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')
[timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/
[timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1
[timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/
Invalid URI in request GET mydomain.com HTTP/1.0

La taille de notre fichier journal de base de données dépasse 5 Gb

J'ai une question: que pouvons-nous faire pour résister à ces menaces? Existe-t-il un moyen d'interdire les adresses IP sur la base d'un certain comportement? Nous regardons toujours nos magazines et essayons de déterminer le plan d'action. Nous serons très reconnaissants pour toutes les directives, liens ou manuels.
Invité:

Giselle

Confirmation de:

Mettez à jour votre système.

Ubuntu 9.04 Je n'ai pas reçu de mises à jour de sécurité pendant deux ans.


client denied by server configuration: /path/to/cron.php

- Ne t'inquiète pas pour ça. La requête a été bloquée par la configuration. Apache, Et l'attaquant a reçu

403 Forbidden

répondre.


ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php')

- Cela pourrait potentiellement être un problème grave. - La vulnérabilité associée au débordement de la mémoire tampon peut permettre à un attaquant d'obtenir un contrôle total sur votre système. D'autre part, cela pourrait arriver que tente de capturer votre système a simplement provoqué une erreur dans PHP.

Peut-être que le système est déjà piraté; S'il y a des doutes, restaurez à partir de la sauvegarde. Mettez ensuite à jour ce système sur les versions prises en charge et les versions actuelles du système d'exploitation, qui mettront également à jour vos packages d'application. Voyez si vous avez des problèmes avec vous, et si oui, essayez de contrer le débordement de la mémoire tampon en vérifiant soigneusement les données d'entrée du client.

Pour répondre aux questions, connectez-vous ou registre