Security

apache 網路伺服器上的使用者 ID - 一種判斷您是否被入侵的方法?

  • August 4, 2020

我正在執行一個 apache 網路伺服器並嘗試學習如何管理它。我盡我所能確保它的安全,並採取了一些預防措施,例如以單獨使用者身份執行、禁用索引和不發送橫幅。

我每天閱讀日誌,偶然發現以下內容:

XXX.XXX.92.232 - admin [02/Aug/2020:11:28:11 +0200] "GET / HTTP/1.1" 200 [...]

我正在使用 CLF。在維基百科上,我發現 admin 指的是使用者 ID。通常在我的日誌中只是一個-在這個地方。我的網頁沒有任何身份驗證。我不使用.htaccess文件。我擔心我的網路伺服器可能會受到威脅。

我知道攻擊,腳本,試圖找到一個網路伺服器的弱點。他們都結束了404。這讓我感到害怕,因為似乎有人嘗試(並成功?)以管理員身份進行身份驗證。

如果有人能解釋那裡發生的事情,我將非常感激。

編輯:

該IP留下了其他日誌:

XXX.XXX.92.232 - - [02/Aug/2020:11:27:48 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:27:52 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:27:56 +0200] "GET /FHFactoryCheck.html HTTP/1.1" 404 341 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:28:01 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:28:06 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - admin [02/Aug/2020:11:28:11 +0200] "GET / HTTP/1.1" 200 503 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"

沒有其他日誌。

在 Apache 訪問日誌的這一部分中出現的使用者名表明使用者代理髮送了 HTTP Basic 身份驗證標頭以及使用者名是什麼。它不指示是否嘗試了身份驗證。如果您實際上沒有為此 URL 配置基本身份驗證,則身份驗證標頭將被忽略。當不使用基本身份驗證時,這並不表示妥協。

這實際上看起來只是另一個隨機機器人嘗試了很多東西,看看是否有任何有趣的事情發生,它可以利用。如果這些都是日誌條目,那麼它很可能沒有發現任何有趣的東西並繼續前進。

引用自:https://serverfault.com/questions/1028874