Apache2訪問日誌可疑，這是什麼攻擊

基本上我在家裡設置了一個網路攝像頭來記錄運動，我設置了一個基本的 Apache 伺服器，以便我可以從外部訪問儲存的影片。

伺服器在我的筆記型電腦上執行，我已經將筆記型電腦的 ip 埠轉發到埠 80，然後我設置了動態 dns，這樣無論我的 ip 是否更改，我都可以訪問相同的域名。

當我檢查訪問日誌並看到一些非常可疑的活動時，它已經執行了一天：http: //pastebin.com/a8xSALaJ 抱歉，我不想刪掉任何微妙的重要內容。

我的 Apache 配置實際上是預設配置，文件根目錄位於 /var/www/html

我有3個問題：

1 - 日誌中是否有任何惡意/攻擊者試圖做什麼（第 152 行有一個非常可疑的日誌

access.log:1203:74.217.28.153 - - [19/Feb/2016:05:36:48 +0000] "GET http://pastebin.com/raw.php?i=GNsjKYy5 HTTP/1.1" 404 442 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"

2 - 以後如何防止此類攻擊

3 - 這個人到底是怎麼找到我的IP的？我當然沒有公開…

如您所知，我的網路知識相當基礎，但我真的很想了解更多，所以任何資訊將不勝感激！

更新

自從發布此內容後，我注意到一些特別令人擔憂的事情——不確定這是否相關，嘗試做一個 apache2 –version：

apache2 --version
[Sat Feb 20 18:24:19.273672 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOCK_DIR} is not defined
[Sat Feb 20 18:24:19.273756 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_PID_FILE} is not defined
[Sat Feb 20 18:24:19.273778 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_USER} is not defined
[Sat Feb 20 18:24:19.273796 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_GROUP} is not defined
[Sat Feb 20 18:24:19.273826 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276425 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276615 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276641 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
AH00526: Syntax error on line 74 of /etc/apache2/apache2.conf:
Invalid Mutex directory in argument file:${APACHE_LOCK_DIR}

第一個問題的答案是很難說正在發生什麼樣的“攻擊”或攻擊者試圖完成什麼。

如果您查看該條目，則日誌會向您顯示某些內容只是在請求網頁。如果您訪問該網頁，它包含文本字元串formyproxycheckerandyquezhasabigdick。

如果我們對您的伺服器請求的 URL 進行Google搜尋，我們會發現許多網站報告說看到此 URL 被請求。

看來這用於抓取和過濾代理。

http://pastebin.com/Qhb1eWXU http://urlquery.net/report.php?id=1453470052748

我會尋求幫助以查找和刪除該電腦上的任何惡意軟體。

現在對於您的第二個問題，這些日誌條目似乎與直接執行 Apache 有關。當您想啟動 Apache 時，請嘗試使用以下命令。

sudo service apache2 start

未定義 Apache2 配置變數

你問別人是怎麼找到你的設備的。老實說，如果您在網關設備上打開了埠，那麼有人可能會找到它。如果您從未聽說過 Shodan，您應該使用 Google 搜尋，以便了解正在發生的事情以及它對您的影響。

除非需要，否則永遠不要打開埠，始終阻止埠掃描，並且永遠不要在連接到 Internet 的任何設備上留下預設密碼。

引用自：https://serverfault.com/questions/758641