Ошибка связи с сервером на том же IP block
Доброе утро, У меня есть 7 серверов в одном и том же DC.
Из них 4 не могут связываться друг с другом: каждая из этих 4-х машин не обменивается данными с 3-мя другими через SSH, и нет ответа на ping («Пункт назначения Хост недоступен ").
Все эти 4 сервера идентичны, приобретены в один день.
С прошлой недели я использую веб-сервер (Apache2 в Ubuntu, доступный только по IP), и я считаю, что сейчас я наиболее уязвим, поскольку не знаю, на что обращать внимание, поэтому я спрошу экспертов на всякий случай.
Когда я просматриваю журналы доступа, я могу проследить большинство обращений до самого себя. Затем есть несколько невинно выглядящих одиночных запросов GET, но также есть несколько более подозрительных обращений: доступ wget к файлам конфигурации, предполагаемая атака посредством внедрения php, предполагаемый доступ к серверам, которые выглядят как серверы баз данных, и т. Д. Все эти запросы, кстати, были отклонены.
Должен ли я что-то с этим делать, кроме обновления программного обеспечения и т. например, сообщить о них или принять дополнительные меры безопасности? Следует ли мне продолжать отслеживать журналы доступа?
Вы можете познакомиться с fail2ban : это программа, которая отслеживает файлы журналов на предмет подозрительной активности и блокирует исходный IP-адрес на желаемый период времени, даже на неопределенный срок. . Он также может отправить вам уведомление по электронной почте с подробностями об угрозе и предпринятых действиях.
Fail2ban сканирует файлы журналов (например, / var / log / apache / error_log) и блокирует IP-адреса которые показывают злонамеренные признаки - слишком много сбоев пароля, поиск для эксплойтов и т.д. Обычно Fail2Ban затем используется для обновления брандмауэра правила отклонения IP-адресов на указанный период времени, хотя любое другое действие (например, отправка электронного письма) также может быть настроенным. Fail2Ban из коробки поставляется с фильтрами для различных службы (apache, courier, ssh и т. д.).