Question

我的AWS Elastic Beanstalk账户不断出现错误： “每天的环境健康状况已从“正常”转变为“严重”。HTTP4xx的请求中有100.0％出现错误”。

查看服务器日志时，访问多个奇数个网页（不存在）后，它会继续下降。日志的一部分：

/var/log/httpd/error_log-XXX
[XXX] [:error] [pid XXX] [client XXXX] script '/var/www/html/w.php' not found or unable to stat
[XXX] [:error] [pid XXX] [client XXX] script '/var/www/html/sheep.php' not found or unable to stat
[XXX] [:error] [pid XXX] [client XXX] script '/var/www/html/qaq.php' not found or unable to stat
[XXX] [:error] [pid XXX] [client XXX] script '/var/www/html/db.init.php' not found or unable to stat
[XXX] [:error] [pid XXX] [client XXX] script '/var/www/html/db_session.init.php' not found or unable to stat
[XXX] [:error] [pid XXX] [client XXX] script '/var/www/html/db__.init.php' not found or unable to stat
[XXX] [:error] [pid XXX] [client XXX] script '/var/www/html/wp-admins.php' not found or unable to stat
[XXX] [:error] [pid XXX] [client XXX] script '/var/www/html/m.php' not found or unable to stat
[XXX] [:error] [pid XXX] [XXX] script '/var/www/html/db_dataml.php' not found or unable to stat
...
[XXX] [XXX] [pid XXX] XXX: Graceful restart requested, doing restart

有人知道发生了什么吗？谢谢！

Answer 1

同样的事情发生在我身上。 AWS Elastic Beanstalk 正在检查根查询是否有效。这意味着根“/”处的请求必须以 HTTP 代码 200 响应。

您可能只需要解决这个问题。

Answer 2

我怀疑这是某种攻击（DDoS）。

也许有人在不同端口上扫描您的网站，然后在寻找特定文件（w.php），该文件可能是后门或类似的东西。由于该文件不存在，因此会引发错误。

我建议执行以下步骤：

确保将所有数据备份到服务器上。
从头开始重新安装实例。
确保根据任何CIS基准对实例进行保护。
确保Apache受到任何Apache CIS基准的保护。
如果找不到其他提供者，请确保VPS提供者正在使用IPS / IDS监视您的实例。
确保所有相关日志都发送到与Web服务器实例不同的中央syslog服务器。这样可以提高日志的完整性。
您可能想安装Snort IPS / IDS解决方案，只是为了查看是否发动了另一次攻击。
安装文件完整性监视解决方案（例如AIDE）并监视配置文件中的更改。

https://benchmarks.cisecurity.org/downloads/multiform/

AWS Elastic beantalk 100.0％的请求因HTTP 4xx错误

2 个答案: