Apache2訪問日誌可疑,這是什麼攻擊
基本上我在家裡設置了一個網路攝像頭來記錄運動,我設置了一個基本的 Apache 伺服器,以便我可以從外部訪問儲存的影片。
伺服器在我的筆記型電腦上執行,我已經將筆記型電腦的 ip 埠轉發到埠 80,然後我設置了動態 dns,這樣無論我的 ip 是否更改,我都可以訪問相同的域名。
當我檢查訪問日誌並看到一些非常可疑的活動時,它已經執行了一天:http: //pastebin.com/a8xSALaJ 抱歉,我不想刪掉任何微妙的重要內容。
我的 Apache 配置實際上是預設配置,文件根目錄位於 /var/www/html
我有3個問題:
1 - 日誌中是否有任何惡意/攻擊者試圖做什麼(第 152 行有一個非常可疑的日誌
access.log:1203:74.217.28.153 - - [19/Feb/2016:05:36:48 +0000] "GET http://pastebin.com/raw.php?i=GNsjKYy5 HTTP/1.1" 404 442 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"
2 - 以後如何防止此類攻擊
3 - 這個人到底是怎麼找到我的IP的?我當然沒有公開…
如您所知,我的網路知識相當基礎,但我真的很想了解更多,所以任何資訊將不勝感激!
更新
自從發布此內容後,我注意到一些特別令人擔憂的事情——不確定這是否相關,嘗試做一個 apache2 –version:
apache2 --version [Sat Feb 20 18:24:19.273672 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOCK_DIR} is not defined [Sat Feb 20 18:24:19.273756 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_PID_FILE} is not defined [Sat Feb 20 18:24:19.273778 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_USER} is not defined [Sat Feb 20 18:24:19.273796 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_GROUP} is not defined [Sat Feb 20 18:24:19.273826 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOG_DIR} is not defined [Sat Feb 20 18:24:19.276425 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined [Sat Feb 20 18:24:19.276615 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined [Sat Feb 20 18:24:19.276641 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined AH00526: Syntax error on line 74 of /etc/apache2/apache2.conf: Invalid Mutex directory in argument file:${APACHE_LOCK_DIR}
第一個問題的答案是很難說正在發生什麼樣的“攻擊”或攻擊者試圖完成什麼。
如果您查看該條目,則日誌會向您顯示某些內容只是在請求網頁。如果您訪問該網頁,它包含文本字元串
formyproxycheckerandyquezhasabigdick
。如果我們對您的伺服器請求的 URL 進行Google搜尋,我們會發現許多網站報告說看到此 URL 被請求。
看來這用於抓取和過濾代理。
http://pastebin.com/Qhb1eWXU http://urlquery.net/report.php?id=1453470052748
我會尋求幫助以查找和刪除該電腦上的任何惡意軟體。
現在對於您的第二個問題,這些日誌條目似乎與直接執行 Apache 有關。當您想啟動 Apache 時,請嘗試使用以下命令。
sudo service apache2 start
你問別人是怎麼找到你的設備的。老實說,如果您在網關設備上打開了埠,那麼有人可能會找到它。如果您從未聽說過 Shodan,您應該使用 Google 搜尋,以便了解正在發生的事情以及它對您的影響。
除非需要,否則永遠不要打開埠,始終阻止埠掃描,並且永遠不要在連接到 Internet 的任何設備上留下預設密碼。