Apache-2.2

apache日誌中的奇怪內容

  • December 22, 2010

我正在建構某種 webapp,目前整個東西都在我的機器上執行。我正在梳理我的日誌,發現了幾個讓我有點偏執的“奇怪”日誌條目。開始:

***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054

該死的……這是什麼?!

除非您注意到來自伺服器的奇怪的新文件、更改的系統文件或其他奇怪的行為,否則我不會太擔心這些奇怪的日誌條目。如果伺服器對 Internet 開放,任何人都可以向您的伺服器發送格式錯誤的 HTTP 請求,而很多人(或機器人)就是這樣做的。

他們為什麼要那樣做?好吧,一些 Web 伺服器已經知道可以通過向它們發送“正確”類型的請求來利用這些漏洞。因此,您可能看到的是對已知(甚至未知)漏洞的探測。如果它讓您感覺更安全,您可以採取追溯措施,例如阻止/禁止發送格式錯誤或未知請求的 IP(使用 iptables、fail2ban 等)。

就我個人而言,我認為將“壞” IP 列入黑名單並不值得,因為當你在日誌文件中看到它們的踪跡時,他們要麼已經知道你不是易受攻擊的,要麼你已經被黑了。我相信更好的方法是主動安全:

  • 保持您的伺服器軟體完全打更新檔並保持最新。總是。一絲不苟。宗教上。
  • 使您的攻擊配置文件盡可能小:不要在伺服器上安裝/執行任何不必要的軟體。而且,正如奧卡姆的威廉曾經說過的那樣,“不要不必要地增加使用者帳戶。”
  • 防火牆您的伺服器。(或者不知道,但知道你在做什麼。)
  • 執行入侵檢測系統,如AIDEOSSECsamhain。這會在系統文件意外更改時提醒您,通常是您的伺服器已被入侵的提示。
  • 執行系統監控/繪圖軟體,如munincacticollectd等。定期查看圖表以了解正常系統負載的情況以及您的正常趨勢。然後,當您的圖表顯示您以前從未見過的東西時,您就有動力進一步調查。
  • 執行網路日誌分析器/繪圖器,例如webalizerawstats。再次,熟悉正常操作的樣子,這樣您就可以快速辨識出事情何時不正常。
  • 執行一個單獨的日誌伺服器——最好是在一個最小的、安全強化的系統上執行——並配置你的伺服器以將它們的日誌發送到它。這使得入侵者更難掩蓋他的踪跡。

引用自:https://serverfault.com/questions/215074