Tengo direcciones IP que intentan probar nuestro servidor web e intentan encontrar URL abiertas. Los dos métodos conocidos son intentar encontrar nodos específicos en nuestro sitio drupal, o intentar el truco ../../../../ para intentar acceder a la raíz del servidor web.
Ambos trucos no hacen nada contra nosotros, pero LogWatch a veces devuelve que el sondeo pudo haber tenido éxito al devolver una solicitud 200 HTTP.
¿Debo tomar alguna medida para contrarrestar esto?
La respuesta simple es que si alguien está haciendo un sondeo obvio, elimínelo. phpMyAdmin, por ejemplo, es un indicador que nunca se solicita legítimamente a menos que lo instale para su propio uso privado. Sugiero una respuesta de 15 minutos para "soltar todos los paquetes", o ICMP inalcanzable por la respuesta del administrador si se siente particularmente detallado. Puede desencadenar esto con reglas de reescritura de Apache, módulos de seguridad, fail2ban y registros regulares, o un sistema de firewall de aplicaciones.
Personalmente uso el tipo 3, el código 13 para portar mal los clientes NTP (solo la aplicación, no eliminando todo el host), 9 para matarlos en la red y 10 si el sistema en cuestión solo tiene 1 IP. No hay mucha gente que les preste atención, pero considero que son mis banderas de "Ciudadano de Internet malo".
La mayoría de las cosas que ves en tus registros es donde tu seguridad funciona según lo planeado, pero hay un caso para mirar IPS.
PHPids incluye reglas para detectar muchos ataques, pero no cambia de manera proactiva el comportamiento de su sistema para su protección. OTOH fail2ban bloquea proactivamente los ataques detectados, pero no viene preconfigurado con pruebas para detectar ataques contra sitios PHP. No se necesitaría mucho trabajo para manejar fail2ban desde phpids.
Lea otras preguntas en las etiquetas webserver attack-prevention