Hacking
apache2 伺服器日誌 - 奇怪的活動?
我正在瀏覽 apache 日誌,我認為一些訪問日誌似乎很可疑……我不是專業人士,只是將伺服器管理作為愛好:) 所以我想知道我是否應該採取一些措施……
86.138.17.122 - - [20/May/2012:12:53:14 +0200] "\xcb\xaap\xdc\xf9\xba\xec\x0e\x11\xfa\x1d%\x1f\xe9L$\xff\xa6\xe8-\xd2\x11" 501 309 "-" "-" 218.246.22.178 - - [20/May/2012:14:49:22 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]" 31.176.134.118 - - [21/May/2012:10:32:31 +0200] "\xbe" 501 288 "-" "-" 92.80.76.244 - - [20/May/2012:13:28:19 +0200] "-" 408 0 "-" "-"
我不確定最後一個,但前三個肯定看起來有人在我的伺服器上探測不存在的軟體。
sudo grep -ir “218.246.22.178” /var/log/apache2/*
/var/log/apache2/access.log:218.246.22.178 - - [20/May/2012:14:49:22 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]" /var/log/apache2/access.log.1:218.246.22.178 - - [19/May/2012:23:01:55 +0200] "GET /translators.html HTTP/1.1" 404 533 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]" /var/log/apache2/access.log.1:218.246.22.178 - - [20/May/2012:06:30:03 +0200] "GET /phpmyadmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]" /var/log/apache2/error.log:[Sun May 20 14:49:22 2012] [error] [client 218.246.22.178] File does not exist: /var/www/phpMyAdmin /var/log/apache2/error.log.1:[Sat May 19 23:01:55 2012] [error] [client 218.246.22.178] File does not exist: /var/www/translators.html /var/log/apache2/error.log.1:[Sun May 20 06:30:03 2012] [error] [client 218.246.22.178] File does not exist: /var/www/phpmyadmin /var/log/apache2/other_vhosts_access.log::443 218.246.22.178 - - [20/May/2012:14:49:19 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 401 3233 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]" /var/log/apache2/other_vhosts_access.log.1::443 218.246.22.178 - - [20/May/2012:06:30:02 +0200] "GET /phpmyadmin/translators.html HTTP/1.1" 401 3232 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
對於任何暴露在網際網路上的 Web 伺服器來說,這都是很常見的行為。黑客正在掃描漏洞和開放代理。查看fail2ban以阻止它們,並查看logwatch以監視任何異常情況。
它是用於搜尋過時/可利用軟體的漏洞掃描程序,很可能會掃描大量地址。如果你保持你的堆棧是最新的——你可能不需要擔心。
您可以嘗試掃描您自己的站點,例如使用nikto2來查看發送的請求類型,並可能找到如何更好地保護您的設置。
如果它只是通過默默無聞的安全性或良好的做法是有爭議的,但您也可以配置您的預設虛擬主機
$$ most scans will call your server by ip address rather than domain name $$不提供任何內容,只響應錯誤或靜態頁面。