今天早上查看教會伺服器的 log 檔,發現奇怪的訊息,好像是被入侵的訊息,趕快改了 root 的密碼,也去 google 一下有什麼法寶可以擋下這些壞蛋。

auth.log 的內容如下:
Apr 17 06:25:02 tnhc-web su[25779]: + ??? root:nobody
Apr 17 06:25:02 tnhc-web su[25779]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:02 tnhc-web su[25779]: (pam_unix) session closed for user nobody
Apr 17 06:25:02 tnhc-web su[25792]: + ??? root:nobody
Apr 17 06:25:02 tnhc-web su[25792]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:02 tnhc-web su[25792]: (pam_unix) session closed for user nobody
Apr 17 06:25:02 tnhc-web su[25794]: + ??? root:nobody
Apr 17 06:25:02 tnhc-web su[25794]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:56 tnhc-web su[25794]: (pam_unix) session closed for user nobody

google 一下,發現了 Fail2ban 這個套件,而 ubuntu 6.06 有這個套件,馬上安裝來用。

安裝:
sudo apt-get install fail2ban

設定:
設定檔在 /etc/fail2ban.conf
預設的內容,可以擋下 ssh 的入侵,而 http 的部份,要手動開啟,只要在 [Apache] 的 enabled = false 改成 enabled = true 即可。

在 /etc/fail2ban.conf 的內容中找到這一段,設成 true 。
[Apache]
# Option:  enabled
# Notes.:  enable monitoring for this section.
# Values:  [true | false]  Default:  false
#
enabled = true

接著再看下去會有 apache log檔的設定,因為設定中的目錄,跟實際上的不一樣,所以要改一下,apache → apache2。

原本的:
# Option:  logfile
# Notes.:  logfile to monitor.
# Values:  FILE  Default:  /var/log/apache/access.log
#
logfile = /var/log/apache/access.log

修改後:
# Option:  logfile
# Notes.:  logfile to monitor.
# Values:  FILE  Default:  /var/log/apache/access.log
#
logfile = /var/log/apache2/access.log


設定好之後,請再重新啟動 fail2ban ,重新啟動的指令如下:
sudo /etc/init.d/fail2ban restart

參考來源:
MacBlog - Fail2ban
Jamyy's Weblog: 以 Fail2ban 封鎖嘗試侵入的 IP

20080703 補充:
一開始安裝好的 ubuntu 6.06 當中的 apt 需要修改一些小地方才能下載安裝 fail2ban 的,方法如下:

修改來源套件:
sudo vi /etc/apt/sources.list
找到 #deb http://tw.archive.ubuntu.com/ubuntu/ dapper universe
以及 #deb http://tw.archive.ubuntu.com/ubuntu/ dapper-backports main restricted universe multiverse
將開頭的「#」拿掉。

更新套件庫:
sudo apt-get update ; sudo apt-get upgrade

安裝 fail2ban:請看本文章的開頭
arrow
arrow
    全站熱搜

    tern 發表在 痞客邦 留言(0) 人氣()