apache日誌中的奇怪內容

我正在建構某種 webapp，目前整個東西都在我的機器上執行。我正在梳理我的日誌，發現了幾個讓我有點偏執的“奇怪”日誌條目。開始：

***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054

該死的……這是什麼？！

除非您注意到來自伺服器的奇怪的新文件、更改的系統文件或其他奇怪的行為，否則我不會太擔心這些奇怪的日誌條目。如果伺服器對 Internet 開放，任何人都可以向您的伺服器發送格式錯誤的 HTTP 請求，而很多人（或機器人）就是這樣做的。

他們為什麼要那樣做？好吧，一些 Web 伺服器已經知道可以通過向它們發送“正確”類型的請求來利用這些漏洞。因此，您可能看到的是對已知（甚至未知）漏洞的探測。如果它讓您感覺更安全，您可以採取追溯措施，例如阻止/禁止發送格式錯誤或未知請求的 IP（使用 iptables、fail2ban 等）。

就我個人而言，我認為將“壞” IP 列入黑名單並不值得，因為當你在日誌文件中看到它們的踪跡時，他們要麼已經知道你不是易受攻擊的，要麼你已經被黑了。我相信更好的方法是主動安全：

• 保持您的伺服器軟體完全打更新檔並保持最新。總是。一絲不苟。宗教上。
• 使您的攻擊配置文件盡可能小：不要在伺服器上安裝/執行任何不必要的軟體。而且，正如奧卡姆的威廉曾經說過的那樣，“不要不必要地增加使用者帳戶。”
• 防火牆您的伺服器。（或者不知道，但知道你在做什麼。）
• 執行入侵檢測系統，如AIDE、OSSEC或samhain。這會在系統文件意外更改時提醒您，通常是您的伺服器已被入侵的提示。
• 執行系統監控/繪圖軟體，如munin、cacti、collectd等。定期查看圖表以了解正常系統負載的情況以及您的正常趨勢。然後，當您的圖表顯示您以前從未見過的東西時，您就有動力進一步調查。
• 執行網路日誌分析器/繪圖器，例如webalizer或awstats。再次，熟悉正常操作的樣子，這樣您就可以快速辨識出事情何時不正常。
• 執行一個單獨的日誌伺服器——最好是在一個最小的、安全強化的系統上執行——並配置你的伺服器以將它們的日誌發送到它。這使得入侵者更難掩蓋他的踪跡。

引用自：https://serverfault.com/questions/215074