apache2 的 access.log 異常訊息

linux apache access ip tables ubuntu

b721130 2016-08-03 11:27:47 ‧ 4421 瀏覽

最近使用ubuntu apache2架設了一個簡易私人網站(有專屬網址與對應實體IP)
網站使用.htaccess做帳號密碼登入許可管控
.htaccesss內容如下
AuthName "Restricted Page"
AuthType Basic
AuthUserFile /etc/apache2/webpass
Require valid-user

也有設定iptables防火牆
iptables設定参考此篇
http://blog.pulipuli.info/2011/07/linuxiptables.html

最近發現access.log 常有下列訊息
國外IP - admin [01/Aug/2016:19:23:45 +0800] "GET / HTTP/1.1" 401 670 "http://網站實體IP/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"
國外IP - root [01/Aug/2016:19:24:21 +0800] "GET / HTTP/1.1" 401 670 "http://網站實體IP/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

請問還有哪裡需要再加強設定的

看更多先前的討論...收起先前的討論...

fillano iT邦超人 1 級 ‧ 2016-08-03 13:14:52 檢舉

401表示未授權，所以非法的存取有被檔下阿。

b721130 iT邦新手 5 級 ‧ 2016-08-03 14:20:34 檢舉

感覺有人一直在嘗試不同帳號密碼，好當成跳板

fillano iT邦超人 1 級 ‧ 2016-08-03 14:40:30 檢舉

這天天發生阿，沒發生才奇怪XD...這些是用程式或腳本在跑的，入侵以後，被入侵的系統通常也會接著跑。

所以安全基本要顧好，系統隨時要更新。

b721130 iT邦新手 5 級 ‧ 2016-08-05 15:23:42 檢舉

了解謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

wiseguy

iT邦超人 1 級 ‧ 2016-08-04 10:19:23

可以考慮加裝 fail2ban 來監視 access.log，錯誤太多次則封鎖該 IP 一段時間。
也可以簡單多加一個假站來防止 try 帳密：
既然你有專屬網址，建議可以設定一個以 IP 為網站的假站。比如你的網名是 aaa.bbb.com，IP 是 1.2.3.4，那麼 apache 的虛擬站台可以設成：

Listen 80
<VirtualHost *:80>
    DocumentRoot "/var/empty"
    ServerName 1.2.3.4
     <Directory "/">
         Require all denied
     </Directory>
</VirtualHost>

<VirtualHost *:80>
    DocumentRoot "真實根路徑"
    ServerName aaa.bbb.com

    # 真實網站設定
</VirtualHost>

這麼一來，所有不知道你網名的駭客，通常只是用掃 IP 的方式在找尋下手目標，但是用 IP 連你的站，會直接被擋掉，根本進不到你的網站。只有用網名連的才能進入。