Linux

Logwatch httpd - 黑客和探測

  • May 9, 2012

有時在我的每日日誌觀察報告中,我注意到 httpd 下有一個部分用於“嘗試使用已知的黑客攻擊……”,另一個部分是關於有多少站點探測了伺服器。我對這些部分有幾個問題:

  1. apache 或 logwatch 是負責收集和報告已知黑客的嗎?哪個程序實際上知道它是一個已知的黑客?這些程序之一是否有某個位置或參考點用於其已知攻擊列表?
  2. logwatch 是否能夠報告攻擊是否成功,還是我需要一個單獨的軟體來獲取它?
  3. 當 logwatch 報告 x 數量的站點探測伺服器時,這到底意味著什麼?是埠掃描嗎?漏洞掃描?指紋辨識?是 apache 向日誌文件報告此問題,還是 logwatch 正在分析日誌文件並找出答案?
  1. 它是 logwatch,它知道一些眾所周知的黑客。這些被硬編碼到 logwatch 中。檢查文件services/http中以 . 開頭的行my @exploits。您將看到這些只是檢測到的一些非常簡單的模式。
  2. 如果網路伺服器沒有以錯誤狀態響應,logwatch 認為黑客攻擊成功。
  3. 這類似於埠掃描 - 某人或某些軟體檢查您的網路伺服器是否易受攻擊。

就個人而言,我不會過多關注該報告。

引用自:https://serverfault.com/questions/387448