#apache #security
#apache #Безопасность
Вопрос:
Недавно я создал поддомен на своем веб-сайте с намерением вскоре клонировать свой веб-сайт для целей тестирования. Поддомен был «бета», так что beta.example.com
Он был настроен и защищен паролем через htaccess и направляется через Cloudflare, ему около трех дней, и он никогда не объявлялся публично (только я знаю об этом).
Сегодня я заметил это на странице статистики моего сервера Apache: 
Кроме того, нагрузка на процессор увеличивалась и была очень, очень высокой. После обновления это продолжалось и фактически продолжается прямо сейчас. Это какая-то атака боттинга / грубой силы? Я не могу себе представить, как / почему еще так много IP-адресов будут получать доступ к этому несвязанному / частному поддомену. С тех пор я удалил его из Cloudflare DNS, и IP-адреса все еще каким-то образом подключаются, я предполагаю, что для его распространения потребуется время.
Это вредоносно? И как это можно предотвратить? Я предполагаю, что это была / пытается перебрать пароль htaccess? Это потому, что это общее имя поддомена? («бета») — будет ли это иметь значение? Опять же, прошло всего около трех дней, так что, черт возьми, они работают быстро.
Ответ №1:
Это могут быть роботы поисковой системы, это могут быть скриптовые детки, это может быть грубая сила, вы можете получить дополнительную информацию в своем лог-файле или путем анализа IP-адреса.
Я не уверен, что действительно понимаю вашу проблему и чего вы хотите.
Если ваш веб-сайт находится в Сети, так что да, некоторые люди / боты / роботы попытаются получить к нему доступ, как и к любому другому веб-сайту.
Если вы не хотите, чтобы кто-либо имел доступ к вашему веб-сайту, вы можете добавить ограничение IP.
Комментарии:
1. Ну, как я уже сказал, это поддомен, который я только что добавил. никто об этом не знает, и в Интернете не существует ни одной ссылки на него, но вот десятки и десятки IP-адресов попадают в него каждую минуту? С тех пор я удалил DNS-запись CNAME из Cloudflare, но они сохраняются. Дело в том, что мне интересно, является ли это вредоносным, и если да, то как это остановить? Я, так сказать, перевел домен в «автономный режим», но хиты остаются? Кажется невозможным. Я пытаюсь исключить это как совпадение или роль в текущей высокой загрузке ЦП сайта.
2. Кроме того, они не отображаются в журнале при запуске
sudo tail -100 /etc/httpd/logs/access_log3. Это новый хостинг? Возможно, некоторые боты, роботы или скрипты пытаются получить доступ к вашему серверу, потому что IP-адрес использовался для веб-сайта с высоким трафиком или для потоковой передачи, для чего-то подобного. Как насчет состояния соединений (ESTAB, TIME_WAIT, SYN_RECV, …), когда вы смотрите (netstat)?