Apache-2.2
我的伺服器被黑了嗎 w00tw00t.at.ISC.SANS.DFind
我很確定我的伺服器被黑了。我在訪問日誌中看到這些條目是一系列 500 條錯誤消息之前的最後兩條,它與數據庫有關,但我還沒有找到確切的錯誤。我仍在試圖弄清楚這意味著什麼 - 任何人都可以幫助我:
208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"
更新
好的-進一步調查-由於某種原因mysql服務被關閉。我重新啟動它,一切看起來都很正常。沒有數據失去,但我真的對那些奇怪的條目感到不安——我如何檢查是否有人進入了我的系統?
在我的 MYSQl 日誌中,我看到了這些行——這對發生的事情有何影響?
Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution 110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown 110616 17:34:20 InnoDB: Starting shutdown... 110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508 110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete 110616 17:34:21 mysqld ended
DFind 掃描只是掃描,並不表示違規;如果你在看,你會一直看到它。見這裡。
這是一個優雅的 MySQL 關閉,可能需要進一步調查,但它本身並不是非常可疑。
訪問日誌中的這兩個條目無需擔心。
第一個非常好(208.90.56.152 的某個人詢問了您的網站根目錄並得到了它),第二個看起來像是 69.162.74.102 的某個人試圖訪問
w00tw00t.at.ISC.SANS.DFind:)
您網站上呼叫的文件……當然沒有找不到它。人們(或機器人)可能會向您的網路伺服器詢問最奇怪的事情;這沒關係,重要的是他們沒有找到他們:-)