iT邦幫忙

1

apache2 的 access.log 異常訊息

最近使用ubuntu apache2架設了一個簡易私人網站(有專屬網址與對應實體IP)
網站使用.htaccess做帳號密碼登入許可管控
.htaccesss內容如下
AuthName "Restricted Page"
AuthType Basic
AuthUserFile /etc/apache2/webpass
Require valid-user

也有設定iptables防火牆
iptables設定参考此篇
http://blog.pulipuli.info/2011/07/linuxiptables.html

最近發現access.log 常有下列訊息
國外IP - admin [01/Aug/2016:19:23:45 +0800] "GET / HTTP/1.1" 401 670 "http://網站實體IP/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"
國外IP - root [01/Aug/2016:19:24:21 +0800] "GET / HTTP/1.1" 401 670 "http://網站實體IP/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

請問還有哪裡需要再加強設定的

看更多先前的討論...收起先前的討論...
fillano iT邦超人 1 級 ‧ 2016-08-03 13:14:52 檢舉
401表示未授權,所以非法的存取有被檔下阿。
b721130 iT邦新手 5 級 ‧ 2016-08-03 14:20:34 檢舉
感覺有人一直在嘗試不同帳號密碼,好當成跳板
fillano iT邦超人 1 級 ‧ 2016-08-03 14:40:30 檢舉
這天天發生阿,沒發生才奇怪XD...這些是用程式或腳本在跑的,入侵以後,被入侵的系統通常也會接著跑。

所以安全基本要顧好,系統隨時要更新。
b721130 iT邦新手 5 級 ‧ 2016-08-05 15:23:42 檢舉
了解 謝謝

1 個回答

3
wiseguy
iT邦超人 1 級 ‧ 2016-08-04 10:19:23

可以考慮加裝 fail2ban 來監視 access.log,錯誤太多次則封鎖該 IP 一段時間。
也可以簡單多加一個假站來防止 try 帳密:
既然你有專屬網址,建議可以設定一個以 IP 為網站的假站。比如你的網名是 aaa.bbb.com,IP 是 1.2.3.4,那麼 apache 的虛擬站台可以設成:

Listen 80
<VirtualHost *:80>
    DocumentRoot "/var/empty"
    ServerName 1.2.3.4
     <Directory "/">
         Require all denied
     </Directory>
</VirtualHost>

<VirtualHost *:80>
    DocumentRoot "真實根路徑"
    ServerName aaa.bbb.com

    # 真實網站設定
</VirtualHost>

這麼一來,所有不知道你網名的駭客,通常只是用掃 IP 的方式在找尋下手目標,但是用 IP 連你的站,會直接被擋掉,根本進不到你的網站。只有用網名連的才能進入。

b721130 iT邦新手 5 級 ‧ 2016-08-05 15:24:09 檢舉

已使用大大建議,目前觀察中,謝謝

我要發表回答

立即登入回答