Analisando arquivos de log no VPS

Visualizando 5 posts - 1 até 5 (de 5 do total)
  • Autor
    Posts
  • #10925
    Luis FatorBinario
    Luis FatorBinario
    Administrador

    No tutorial Debian + ISPConfig configuramos vários serviços incluindo o Servidor Web NginX, Fail2Ban, Servidor de Email, entre outros. Todos estes serviços, e o próprio sistema operacional, criam arquivos de log que devem ser monitorados constantemente, e como optamos por um servidor de baixo custo a melhor maneira de fazer essa análise é manualmente.

    O diretório onde o servidor armazena estes arquivos é o /var/log e nos subdiretórios.

    Além de monitorar os arquivos existem dois tipos de preocupação constante que deve-se prestar atenção: O tamanho dos arquivos (logs de acesso http, se não foram desativados conforme recomendamos, podem ficar gigantes, diminuindo o desempenho do servidor); A outra preocupação é o conteúdo das linhas de log, o servidor pode estar sofrendo um ataque hacker neste exato momento. Tentativas de ataque são gravadas nesses arquivos.

    Em um servidor podem existir muitos logs para serem analisados, vamos ver os principais:

    * Listei os arquivos abaixo levando em consideração o tutorial Debian + ISPConfig

    /var/log/ispconfig/httpd/seudominio.com/

    Para cada site que criamos no ISPConfig um diretório de log é adicionado com arquivos access.log e error.log. Se você seguiu a recomendação e desativou estes logs no Passo 2A – “Adicionando um Domínio” não há muito com o que se preocupar, mas caso contrário delete alguns arquivos nesse diretório se eles forem muito grandes e desative os logs para o site (*Se os arquivos estão grandes é porque, ou você tem muitos acessos diários, ou existem bugs no site).

     

    /var/log/auth.log

    Grava as sessões de login no servidor.

     

    /var/log/fail2ban.log

    O Fail2Ban é uma ferramenta que analisa arquivos de log e toma uma ação contra possíveis ataques automaticamente. Extremamente útil contra ataques de Força-Bruta (Brute Force). Dentro do arquivo são listadas as tentativas de ataque. *Em nosso próximo tutorial sobre Segurança no Servidor de Email vamos mostrar como usar o Fail2Ban para repelir ameaças.

     

    /var/log/kern.log

    Neste arquivo podemos ver algumas mensagens do kernel, as mais comuns que aparecem aqui são as de segfault no PHP5-FPM. Isso acontece porque o módulo fastcgi do PHP pode estar resetando por causa da configuração, veja neste tutorial como solucionar. (Veja também o log /var/log/php5-fpm.log abaixo)

     

    /var/log/mail.info, /var/log/mail.log e /var/log/mail.warn

    Todas as vezes que enviamos/recebemos algum email, conectamos via SMTP ou POP3, ou sempre que alguém tenta “spoofar” ou acessar as contas de email no servidor, estes arquivos de log registram tudo. Foi analisando eles durante semanas que fiz uma compilação de passos de Segurança no Servidor de Email que será publicado nos próximos dias. Visualizem estes logs e vejam quantas falhas de autenticação SASL existem.. São muitas não é verdade? A maioria são hackers da China e Rússia.

     

    /var/log/php5-fpm.log

    No arquivo kern.log vimos que uma falha “segfault” foi registrada, normalmente gerada pelo PHP5-FPM. Neste log podemos ver o erro que originou aquela falha, observe em seu servidor se existe alguma linha parecida com estas: “WARNING: [pool web1] child 12002 exited on signal 11 (SIGSEGV) after 0.692976 seconds from start” ou  “WARNING: [pool web1] server reached max_children setting (20), consider raising it”. Como eu disse acima siga este tutorial para solucionar o problema.

     

    /var/log/rkhunter.log

    RootKit Hunter (RKHunter) é uma ferramenta usada contra ameaças Malware para sistemas Linux/Unix -Like. Ele avisará quando houverem arquivos suspeitos. É sempre bom olhar o log.

     

    /var/log/syslog.log

    Este arquivo grava praticamente todas as ações no servidor, menos os logs de autenticação.


     

    O monitoramento constante de um servidor é parte da rotina de um administrador de sistemas. Se a tarefa parece cansativa imagine que neste exato momento tem um hacker scaneando as portas do seu servidor ou que algum serviço com problemas pode estar gravando logs e apontando que, se não houver nenhuma ação para solucionar, o serviço pode simplesmente parar.

    Deixarei aqui um comando bastante útil, que uso diariamente, para visualizar arquivos de log em tempo real:

    > tail -f /var/log/mail.info | grep –line-buffered SASL

    *Onde SASL é o texto a ser encontrado. O comando acima irá mostrar uma mensagem cada vez que houver uma tentativa de acesso ao servidor de emails.

     

    * * Se ao verificar os arquivos de log você notar que o horário dos registros estiver gravando errado (adiantado ou atrasado), então será necessário reiniciar o servidor com o comando:

    > shutdown -r now

    Em algumas instalações que fiz o syslogD parece ter algum bug que causa isso.

     

    #11999

    chodos
    Participante

    Luis,

    Estou bloqueando no firewall IPs recorrentes identificados no auth.log e mail.log por falha de conexão ou falha de autenticação SASL. Vê algum problema? Também percebi que o php5-fpm.log é pouco atualizado, é normal isso?

    Obrigado

    #12001
    Luis FatorBinario
    Luis FatorBinario
    Administrador

    O php5-fpm.log só atualiza quando der algum problema ou reiniciar o PHP.

    Pode bloquear os IPs que quiser mas sempre verifique a origem dele, cuide para não bloquear crawlers e indexadores reais.

    Consulte a origem do IP neste link:
    http://www.ipfingerprints.com/

    #12005

    chodos
    Participante

    Luis, mas indexadores não estariam causando “SASL Login authentication failed”, certo?

    #12006
    Luis FatorBinario
    Luis FatorBinario
    Administrador

    Essa mensagem do SASL eu explico no tutorial de segurança do Debian 7, aquilo ali são tentativas de bots tentando a senha de contas de email.

Visualizando 5 posts - 1 até 5 (de 5 do total)

Você deve fazer login para responder a este tópico.