Cum îmi securizez serverul cu UFW (presupus că este atacat)

Rulez Apache pe Debian.

Mai jos este un eșantion de intrări din jurnalul meu de erori Apache. Întrebarea 1: Este serverul atacat (văd aproximativ 30-40 de astfel de intrări la fiecare oră). Presupun că acestea sunt atacuri sau cel puțin probe asupra serverului meu.

[Dum. Feb. 13 16:37:54.013622 2022] [:error] [pid 16071] [client 106.193.114.87:19356] Notificare PHP: Variabilă nedefinită: error_msg în /var/www/example.combo/th-sidebar-combo/th. php pe linia 57, referitor: https://example.com/podbanks/abresult.php?ab=ab18&lg=Engleză

[Dum. Feb 13 16:38:01.289976 2022] [:error] [pid 16109] [client 106.193.114.87:19358] Notificare PHP: Variabilă nedefinită: result_msg în /var/www/example.com/abc/defg.php linia 210, referitor: https://example.com/result.php?ab=ab18&lg=engleză

[Dum. Feb 13 16:38:01.290048 2022] [:error] [pid 16109] [client 103.77.154.37:1842] Notificare PHP: Variabilă nedefinită: stare în /var/www/example.com/pods/dashboard.php linia 210, referitor: https://example.com/result.php?ab=AB18&lg=Engleză

[Dum. Feb 13 16:38:26.788827 2022] [:error] [pid 15961] [client 54.90.210.118:36104] Notificare PHP: Variabilă nedefinită: BaseURL în /var/www/example.com/biz.php on line

(paginile și variabilele sunt valide, dar numerele de port sunt ciudate).

Întrebarea 2: Dacă acestea sunt atacuri, le pot opri cu UFW? Momentan am:

La Acțiune De la
-- ------ ----
WWW Full ALLOW Oriunde
3306 PERMITERE oriunde
22 PERMITERE oriunde
8081 PERMITERE oriunde
1185 PERMITERE oriunde
WWW Complet (v6) PERMITERE Oriunde (v6)
3306 (v6) PERMITERE oriunde (v6)
22 (v6) PERMITERE oriunde (v6)
8081 (v6) PERMITERE oriunde (v6)
1185 (v6) PERMITERE oriunde (v6)

8081 PERMITERE Oriunde
8081 (v6) PERMITERE Oriunde (v6)

Sunt acești pași următori validi și completi având în vedere cele de mai sus?

ufw dezactivare
ufw implicit deny incoming
ufw implicit permite expedierea
ufw permite OpenSSH
ufw permit WWW Full
ufw permit 1185
ufw permite 3306
ufw activare

(linia 1 este pentru a mă asigura că nu sunt blocat - folosesc PuTTY)

Întrebarea 3: Chiar trebuie să deschid 3306 dacă MySQL este folosit doar local? Dau acces la baza de date doar prin interogări php care sunt protejate prin parolă și sesiune.

Întrebarea 4: Am nevoie de portul 8081? Este adăugat automat de „WWW Full”?

Nu văd niciun indiciu de atac, doar PHP scris prost. Puteți filtra notificările din jurnale modificând configurația de raportare a erorilor din PHP. De asemenea, nu este nimic neobișnuit la porturi, porturile client din acel interval sunt normale.

Întrebarea publicitară 1: Mesajele de jurnal pe care le-ați citat nu arată niciun indiciu al unui atac. Mai degrabă, ele indică erori în codul PHP al serverului dvs. web. Mesajele conțin, de asemenea, locația exactă (numele fișierului și numărul de linie) în care au apărut erorile. Poate doriți să aruncați o privire acolo.

Numerele porturilor din mesaje nu sunt deloc ciudate, dar absolut normale.

Întrebarea publicitară 2: Având în vedere că nu există niciun atac, întrebarea nu se aplică.

Întrebarea publicitară 3: Nu trebuie și nu ar trebui să expuneți portul MySQL 3306 la rețea dacă este utilizat doar local de serverul web. Adică, serverul MySQL ar trebui configurat să asculte doar pe adresa 127.0.0.1 (localhost) și portul 3306 nu ar trebui să fie permis în ufw.

Întrebarea publicitară 4: Dacă aveți nevoie de portul 8081 permis sau nu, depinde de dacă există vreun serviciu care rulează pe acel port pe care doriți să fie accesibil prin rețea. Dacă nu se ascultă nimic pe portul 8081 sau dacă orice ascultă acolo nu ar trebui să fie accesibil prin rețea, atunci nu ar trebui să-l permiteți în ufw.

Orice expuneți pe internet va fi investigat pentru punctele slabe.

Baza pentru o bună securitate pasivă este să înțelegeți ce fluxuri de rețea sunt necesare pentru ca serviciul dvs. să funcționeze și să permiteți doar acel trafic specific. Pentru orice nu este standard, nu obțineți această înțelegere solicitând sfaturi străinilor de pe Serverfault.

Dacă prezentați doar un serviciu web pe Internet, este probabil că singurul trafic pe care trebuie să-l permiteți de la clienți ("Orice") este HTTP și HTTPS.

De asemenea, va trebui să prezentați o interfață de gestionare - fie ssh obișnuit, fie un VPN de gestionare. Este important ca orice alegeți aici să fie suficient de dur pentru a rezista inevitabilelor atacuri de forță brută. Este o practică bună să utilizați autentificarea bazată pe cheie sau certificat pentru aceste canale.

În termeni generali, nu doriți niciodată să expuneți un server de baze de date direct la Internet.