Ako správne loggovať chyby pri útoku?

MKI-Miro
Člen | 277
+
0
-

Ahojte

Ako logujete chyby keď sa niekto veľmi snaží napadnúť váš web?

Príklad:

Ráno nájdem niekoľko MB error.log súbor v ktorom niekto skúša:

Argument $page passed to App\Presenters\ProductPresenter::renderManufacturer() must be int, string given.
sk/product/manufacturer/106?orderFilter=newest&page=1%20waitfor%20delay%20%270%3A0%3A15%27%20--%20
sk/product/search?page=3%27%7C%7CDBMS_PIPE.RECEIVE_MESSAGE%28CHR%2898%29%7C%7CCHR%2898%29%7C%7CCHR%2898%29%2C15%29%7C%7C%27&search=the

Na jednej strane človek chce vedieť o útoku aby vedel minimálne zablokovať IP, na druhej strane takýto log file nepoteší.

  1. Ako to riešite vy?
  2. Ako sa tomu bránite? ja len zablokujem ip v .htaccess ale potom to príde samozrejme opäť z inej.

ďakujem

mystik
Člen | 308
+
0
-

Snazime se identifikovat obvykle patterny utoku v nginx i aplikaci (typicke sql injection, pokusy o pristupy na instalacni scripty, apod.) . Pokud to vypada jako utok vracim http code 418 (I'am teapot). A pak mame nastavene fail2ban ktere po 20 detekcich automaticky zablokuje utocici IP na 10 minut a posle mi mail s logem oristuou z dane IP. A dalsi pravidlo ve fail2ban ze po udeleni 5× tech 10 min banu uz dostane ban na tyden.