Hallo zusammen,
wir haben hier im Netzwerk einen Ubuntu-Server mit einem nginx als Reverse-Proxy laufen. Dieder wurde von einem ehemaligen Kollegen aufgesetzt und dieser ist leider nicht mehr "unter uns". Leider fehlt auch eine enstprechende Dokumentation seinerseits zu der konfiguration des Servers als ReverseProxy.
Da wir hier alle sonst Linux-Noobs sind und nur rudimentäre Grundkenntnisse haben, sieht es natürlich bei speziellen Sachen etwas "mau" aus.
So haben wir hier eben den ngninx als Reverse-Proxy, der Zugriffe von außerhalb an verschiedene Destinationen innerhalb des Netzwersk weiter gibt.
Nun haben wir auf so einem System hinter dem Reverseproxy einen Angriff entdeckt, der seit Stunden tausende Anfragen schickt (auf bestimmte URLs des Systems, die ihm wohl bekannt sind).
Nun müssten wir die IP-Adresse des Angreifers zuerst ausfindig machen (hoffe in einem LogFile) und diese dann sperren. Dei Infos zum Sperren habe ich bereits (https://willy-tech.de/nginx-ip-adressen-blockieren/) gefunden. Denke damit müsste es gehen.
Aber wie komme ich an des LogFile? Wo finde ich dieses und kann die IP-Adresse ausfindig machen, die der Angreifer nutzt? Dann kann ich diese auch blockieren und den Angriff zumindest vorerst eindämmen.
Vielen lieben Dank schon mal.
Habe hier und im Netz schon gesucht, aber nichts gefunden, was mir weiter geholfen hat. Zumindest nicht wirklich...