◎下了又上的Observium – 溪洲資訊誌

前天收到局裡駐點工程師轉發的資安通知，結果是我當初Observium搭配的Apache有潛在資安漏洞（CVE-2024-38475），查了一下該漏洞的 CVSS 評分高達 9.1 （Critical）。雖然有潛在漏洞並不表示實際上有發生資安事件，但這次有限時回報的壓力，於是乖乖配合先砍了再說。其實，個人面對資安的態度是做好基礎防護，但也要明白沒有攻不破的牆，所以遇到事情處理就是了，不因噎廢食…。

但是，Observium實在是個很方便的工具，對於手中有異常發生的設備可以很快的一目了然，所以決定再次把它做回來。上次是幾年前做的，當時使用Ubuntu Server 20.04，這次打算使用Rocky Linux10+Nginx來避開舊版Apache的問題，由於前陣子才將資訊誌改為Rocky10，所以這次做的速度就快了很多，Rocky+Nginx+Mariadb+PHP+Let’s Encript+Observium，不到2小時就做完，現在透過Ai查資料快多了，重點是正確率變高。

加強防護

Local設完並掛上Crowdsec之後在儀表板會偵測得到，將新機器加入、更名並請AI判讀…

1. 核心指標

10 Alerts：代表這台主機最近偵測到了 10 個安全性警報（您可以點進去看具體的攻擊來源）。
1 Remediation component：這就是我們一直在確認的 Bouncer。顯示為 1 代表這台機器已經安裝並正確連接了防火牆執行器，具備封鎖能力。
62 Scenarios：代表它載入了 62 種偵測規則（如 SSH 暴力破解、HTTP 掃描等），防護範圍很廣。
4 Blocklists：代表它正在同步 4 份黑名單（包含社群共防名單）。

2. 連線狀態

Last activity: today at 9:14 AM：右下角的綠燈代表這台機器與雲端控制台的連線是正常的，且最近剛更新過數據。

換用Nginx也不代表就絕對安全，好處是它輕量且效能佳，Apache則是有較多的擴充模組可使用也因此面對稍多的風險。這回既然重做了，順道在Observium增加Crowdsec的防護，藉由社群的分享可以取得大量黑名單進而主動防禦，它會解析Nginx或SSH Log，發現惡意掃描後直接透過Bouncer封鎖IP。

目前才新上Crowdsec，從圖表來看正面臨幾種主要威脅，請Ai分析給我聽…

http-cve-2021-41773 (27.3%)：
- 重點： 這是 Apache HTTP Server 的一個重大路徑穿越（Path Traversal）漏洞。
- 解讀： 即使您使用的是 Nginx，攻擊者（或自動化機器人）仍會盲目地嘗試這個 Apache 專屬漏洞。這證實了「雖然 Nginx 較安全，但它仍會成為攻擊目標」。
http-bad-user-agent (27.3%)：
- 代表有已知的惡意爬蟲或掃描工具嘗試讀取您的網站。
http-probing & http-cve-probing (共 36.4%)：
- 這是在搜尋您伺服器上是否存在特定的漏洞門戶（如 PHPMyAdmin、設定檔等）。
fortinet & netgear_rce：
- 這更說明了機器人正在進行「大範圍掃盲」，嘗試攻擊路由器和防火牆漏洞。