Apache-2.2

我的伺服器被黑了嗎 w00tw00t.at.ISC.SANS.DFind

  • September 18, 2018

我很確定我的伺服器被黑了。我在訪問日誌中看到這些條目是一系列 500 條錯誤消息之前的最後兩條,它與數據庫有關,但我還沒有找到確切的錯誤。我仍在試圖弄清楚這意味著什麼 - 任何人都可以幫助我:

208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"

69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"

更新

好的-進一步調查-由於某種原因mysql服務被關閉。我重新啟動它,一切看起來都很正常。沒有數據失去,但我真的對那些奇怪的條目感到不安——我如何檢查是否有人進入了我的系統?

在我的 MYSQl 日誌中,我看到了這些行——這對發生的事情有何影響?

Version: '5.0.77'  socket: '/var/lib/mysql/mysql.sock'  port: 3306  Source distribution
110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown

110616 17:34:20  InnoDB: Starting shutdown...
110616 17:34:21  InnoDB: Shutdown completed; log sequence number 0 2054508
110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete

110616 17:34:21  mysqld ended

DFind 掃描只是掃描,並不表示違規;如果你在看,你會一直看到它。見這裡

這是一個優雅的 MySQL 關閉,可能需要進一步調查,但它本身並不是非常可疑。

訪問日誌中的這兩個條目無需擔心。

第一個非常好(208.90.56.152 的某個人詢問了您的網站根目錄並得到了它),第二個看起來像是 69.162.74.102 的某個人試圖訪問w00tw00t.at.ISC.SANS.DFind:)您網站上呼叫的文件……當然沒有找不到它。

人們(或機器人)可能會向您的網路伺服器詢問最奇怪的事情;這沒關係,重要的是他們沒有找到他們:-)

引用自:https://serverfault.com/questions/281286