Ako správne loggovať chyby pri útoku?
- MKI-Miro
- Člen | 261
Ahojte
Ako logujete chyby keď sa niekto veľmi snaží napadnúť váš web?
Príklad:
Ráno nájdem niekoľko MB error.log súbor v ktorom niekto skúša:
Argument $page passed to App\Presenters\ProductPresenter::renderManufacturer() must be int, string given.
sk/product/manufacturer/106?orderFilter=newest&page=1%20waitfor%20delay%20%270%3A0%3A15%27%20--%20
sk/product/search?page=3%27%7C%7CDBMS_PIPE.RECEIVE_MESSAGE%28CHR%2898%29%7C%7CCHR%2898%29%7C%7CCHR%2898%29%2C15%29%7C%7C%27&search=the
Na jednej strane človek chce vedieť o útoku aby vedel minimálne zablokovať IP, na druhej strane takýto log file nepoteší.
- Ako to riešite vy?
- Ako sa tomu bránite? ja len zablokujem ip v .htaccess ale potom to príde samozrejme opäť z inej.
ďakujem
- mystik
- Člen | 289
Snazime se identifikovat obvykle patterny utoku v nginx i aplikaci (typicke sql injection, pokusy o pristupy na instalacni scripty, apod.) . Pokud to vypada jako utok vracim http code 418 (I'am teapot). A pak mame nastavene fail2ban ktere po 20 detekcich automaticky zablokuje utocici IP na 10 minut a posle mi mail s logem oristuou z dane IP. A dalsi pravidlo ve fail2ban ze po udeleni 5× tech 10 min banu uz dostane ban na tyden.