Apache HTTP Server软件于18年前初次推出，逾十年以来，该软件一向都是最风行的Web办事器软件--Apache占Web办事器市场的份额超越50%，这也使其成为最热点的报复打击方针。

　　安然公司ESET和Sucuri的研究人员发现了最新针对Apache的高调报复打击，报复打击人员试图寻觅一个后门进进Apache，重定向收集流量到歹意网站，访客进进歹意网站后，将被Blackhole缝隙操纵东西包所传染。这类报复打击表白，企业必需拟定Apache安然最好做法，并且企业需要意想到，不服安的Apache Web办事器可能引发严重的后果。

　　在这篇文章中，我们将供给最好做法来帮忙企业呵护Apache办事器抵抗现代报复打击。

　　Apache安然根本

　　在良多环境下，Apache办事器传染是因为过时的模块、建设或乃至Web办事器托管的Web代码。为体味决这些标题问题，企业应当利用最新版本的Apache HTTP及其附件，同时还应当保持HTTP办事器的更新，这是相当首要的。但是，今朝报复打击者的趋势是专注于外部组件框架、模块和附件，这些方面的缝隙让Apache HTTP很等闲遭到报复打击，并且很难摆脱。企业应当追踪这些新组件，这便是成功了一半，另外一半则是确保这些数据包安装了最新补丁，和进级到最新版本。别的，在更新时，企业还应当记得要细心查抄下载来历，智慧的报复打击常常试图将歹意软件假装成软件更新。

　　除保持更新外，企业还应当建设Apache HTTP Server以将报复打击面减到最小。当然这听起来很简单，但这只有系统治理员可以措置的几十个考虑身分(凡是还需要与Web开辟人员协作)。例如，漫衍式拒尽办事报复打击的最新趋势是利用起码量的流量耗损系统资本。这类报复打击的影响可以经由过程建设参数来最小化，例如建设RequestReadTimeout、TimeOut、KeepAliveTimeout 和MaxRequestWorkers来削减资本耗损值。别的，系统治理员应当考虑的以下其他身分：

　　· 利用限制特权的账户运行HTTPd，假定报复打击者试图报复打击后台法度本身的话，如许做可以或许最大年夜限度地削减对全部系统的影响。

　　· 经由过程建设AllowOverride参数到None，拒尽对. htaccess文件的利用。这可以或许确保htaccess文件不克不及利用。

　　· 建设模式(例如mod_python 和 mod_php)来利用安然模式，在有需要的处所进行这类建设，但在新版本中可能没有这个需要。

　　· 锁定文件系统，如许只有根用户可以重写Apache二进制文件，如许做将避免httpd二进制文件被歹意版本替代。

　　监测Apache报复打击

　　即便摆设了呵护办法来呵护Apache办事器，企业仍然必需警戒报复打击者经由过程其他路子“趁虚而进”。为了确保报复打击者不会偷偷潜进，企业必需紧密密切监测其日记来追踪报复打击迹象。启用必然程度的日记记实，同时记实系统程度的HTTPd，和内部web后台法度。你可以简单地成立bash或Python脚本，来搜刮日记中特定内容，或利用内置syslogd号令来提示治理员暗藏的弊端或报复打击。有效的监测和警报需要企业体味所供给的内容。一些内容(例如利用LDAP用于身份验证)的运作编制可能会导致不太动态的web办事器生成警报。假定你的办事器试牟利用LDAP，而web利用被设计为利用本地身份验证，这可能会引发报警。禁用mod_php可能使企业解除这类类型的报复打击警报，从而使真实的警报阐扬其感化。对面对高风险报复打击的web办事器，考虑启用mod_log_forensic以获得对客户端要求的更深进视图。

　　启用mod_security，所有系统都可以获益，但高风险web办事器获益最多。该模块还可使企业操纵各类东西来检测和禁止报复打击。你还可以经由过程IPS、IDS、NIDS和SIEM系统将它集成到现有的企业安然模式中。mod_security还可以或许作为web利用防火墙，当用于可能没有最好输进过滤的web利用时，它的感化很是巨大年夜。

　　保持警戒

　　经由过程拟定这些根基办法，企业可以确保Apache HTTP办事器的安然，同时以最低风险供给内容。把持安然系统最首要的部门之一就是保持追踪最新的安然风险和软件版本。如许做，再加上积极地监测，将可以或许很好地呵护你的Apache实例的安然。