到目前为止,我构建了一个流量较低的 Web 应用程序,在做一些广告后,我意识到有一些针对我的服务器的可疑请求,这就是 Loggly 服务在面板中向我显示的内容:
来自 Loggly 的关于 nginx 请求的日志
我不是安全信息购买方面的专家,我怀疑有人想要攻击我的网站或正在准备未来的攻击。
- 这些日志到底是什么意思?
- 我应该太担心这种行为吗?
- 他们是否使用某些漏洞利用扫描程序软件?
我正在设置 Web 应用程序防火墙以向 DNS 添加一些规则并更改所有管理员密码,但我必须记住哪些其他建议?
- 是的,有人或机器人正在使用漏洞扫描程序来戳你的服务器。
- 除非流量过多或导致稳定性问题,否则这是正常流量。每个可在线访问的节点都会看到这样的尝试,如果您遵循基本的安全实践(例如,使用操作系统/应用程序补丁保持最新状态,使用 2FA 进行登录,关闭不必要的服务/端口,警惕地监控您的日志和使用情况,或更大规模:投资 WAF、IPS/IDS 产品或使用像 Cloudflare 这样的供应商(, 你不应该有太多可担心的。
- 罪魁祸首是豪尔赫安全扫描器[1][2]
[1] https://www.checkpoint.com/defense/advisories/public/2016/cpai-2016-0214.html
[2] https://blog.paranoidpenguin.net/2017/04/jorgee-goes-on-a-rampage/