我的服务器(Ubuntu + LAMP)被感染了,因为我收到了来自我的 IP 攻击的站点的安全警报。
您的服务器/客户的 IP:********** 攻击了我们的服务器/合作伙伴之一。攻击者使用了方法/服务:bruteforcelogin on: *Sat, ** *** 2015 17:15:17 +0200*。列出的时间来自提交报告的阻止列表用户的服务器时间。该攻击已于以下时间向 Blocklist.de-System 报告:*Sat, ** **** 2015 21:27:10 +0200*
是否有工具或方法可以检测我是否进行了攻击并阻止与它的传出连接?或者至少收到一个警报?
缓解此问题的一种方法是在您的网络上实施出口过滤。例如,大多数 Web 服务器应该不需要连接到 Internet 上任意主机的 SSH 端口,因此如果您在防火墙处阻止此流量,您的系统对攻击者的用处就会降低
这也可以帮助降低首先受到损害的风险,因为出口过滤可以使建立对系统的主动控制变得更加困难(并非不可能,但它提高了一点标准)。
如果您想沿着检测路线走下去,可以使用网络入侵检测系统(例如snort)对异常流量模式(如暴力攻击)发出警报。
Fail2ban 是一个有趣的工具。从官方维基页面1:
Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意迹象的 IP - 太多密码失败,寻找漏洞等。通常,Fail2Ban 用于更新防火墙规则以拒绝 IP 地址在指定的时间内,尽管也可以配置任何其他任意操作(例如发送电子邮件)。开箱即用的 Fail2Ban 带有用于各种服务(apache、courier、ssh 等)的过滤器。