我们的服务器托pipe了一千多个站点,其中一些似乎被恶意脚本劫持。 这些脚本运行通常由合法用户集体执行的操作,在我们的服务器上造成严重的骚扰,并且经常要求我们重新启动以清除负载。 我们没有办法找出它们是什么。 最近这些攻击已经开始影响我们的日常运作。 我们的错误日志文件大小为70mb,其消息类似于以下内容:
[timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries) [timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern) [timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path [timstamp] [error] [client xx.xx.xxx.xxx] ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php') [timstamp] [error] [client xx.xx.xxx.xx] Directory index forbidden by Options directive: /path/to/another/file_or_folder/ [timstamp] [error] [client xxx.xx.x.xx] Invalid URI in request GET /../../ HTTP/1.1 [timstamp] [error] [client xx.xxx.xx.xx] client denied by server configuration: /path/to/another/web/file/ Invalid URI in request GET mydomain.com HTTP/1.0 我们的DB日志文件大小在5gbs以上。
我的问题是,我们能做些什么来对付这些威胁呢? 有没有基于某些行为禁止IP的方法? 我们正在筛选我们的日志,并试图确定一个行动的过程。 任何可以提供的指南,参考或教程将不胜感激。
client denied by server configuration: /path/to/cron.php – 不要担心这个。 该请求被Apache的configuration阻止,攻击者得到了403 Forbidden响应。 ALERT - canary mismatch on efree() - heap overflow detected (attacker 'xxx.xx.xxx.xxx', file '/path/to/index.php') – 这可能是一个主要问题 – 缓冲区溢出漏洞允许攻击者完全控制你的系统。 另一方面,攻击者尝试接pipe你的系统可能只是触发了PHP中的一个错误。 系统可能已经被盗用了; 如有疑问,请从备份中恢复。 然后,将此系统升级到支持的和当前版本的操作系统,这也将更新您的应用程序包。 看看你是否仍然有问题,如果是这样,通过彻底validation客户端input数据来抵消缓冲区溢出。