Security
apache 網路伺服器上的使用者 ID - 一種判斷您是否被入侵的方法?
我正在執行一個 apache 網路伺服器並嘗試學習如何管理它。我盡我所能確保它的安全,並採取了一些預防措施,例如以單獨使用者身份執行、禁用索引和不發送橫幅。
我每天閱讀日誌,偶然發現以下內容:
XXX.XXX.92.232 - admin [02/Aug/2020:11:28:11 +0200] "GET / HTTP/1.1" 200 [...]我正在使用 CLF。在維基百科上,我發現 admin 指的是使用者 ID。通常在我的日誌中只是一個
-在這個地方。我的網頁沒有任何身份驗證。我不使用.htaccess文件。我擔心我的網路伺服器可能會受到威脅。我知道攻擊,腳本,試圖找到一個網路伺服器的弱點。他們都結束了
404。這讓我感到害怕,因為似乎有人嘗試(並成功?)以管理員身份進行身份驗證。如果有人能解釋那裡發生的事情,我將非常感激。
編輯:
該IP留下了其他日誌:
XXX.XXX.92.232 - - [02/Aug/2020:11:27:48 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" XXX.XXX.92.232 - - [02/Aug/2020:11:27:52 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" XXX.XXX.92.232 - - [02/Aug/2020:11:27:56 +0200] "GET /FHFactoryCheck.html HTTP/1.1" 404 341 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" XXX.XXX.92.232 - - [02/Aug/2020:11:28:01 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" XXX.XXX.92.232 - - [02/Aug/2020:11:28:06 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" XXX.XXX.92.232 - admin [02/Aug/2020:11:28:11 +0200] "GET / HTTP/1.1" 200 503 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"沒有其他日誌。
在 Apache 訪問日誌的這一部分中出現的使用者名表明使用者代理髮送了 HTTP Basic 身份驗證標頭以及使用者名是什麼。它不指示是否嘗試了身份驗證。如果您實際上沒有為此 URL 配置基本身份驗證,則身份驗證標頭將被忽略。當不使用基本身份驗證時,這並不表示妥協。
這實際上看起來只是另一個隨機機器人嘗試了很多東西,看看是否有任何有趣的事情發生,它可以利用。如果這些都是日誌條目,那麼它很可能沒有發現任何有趣的東西並繼續前進。