我一直在玩弄运行在 Ubuntu Server 上的 Apache,这很有趣。它被设置为一个全局 Web 服务器,并共享一些我可以在任何地方访问的文件。我还使用它来连接我的音乐,并在出门在外时通过我的 Android 手机播放音乐。它还存储了仅在我的本地网络中可见的共享内容。
几周前我设置了 logwatch,每天早上都会通过电子邮件发送日志。我时不时会在日志中看到这个(或类似的东西)。
Attempts to use known hacks by 1 hosts were logged 3 time(s) from:
<Routers local IP Address>: 3 Time(s)
Logwatch 显示没有成功尝试,我很确定我没有被黑客入侵。但是什么会导致我的路由器本地 IP 地址在 logwatch 中显示为威胁?
它是不是在暗中毁了我O-o?
关于网络的一些其他信息:
- 我的路由器将我的家庭网络隐藏在 NAT 后面
- 我确实在 Android 上进行开发,并通过 Eclipse 中的模拟器以及手机与其建立连接。
- 我的手机以及家用电脑连接到网络共享来播放音乐和下载文件(全球和本地)
我似乎无法准确指出导致这种情况的原因。
- 安卓代码不好吗?
- 服务器在本地和全球共享的事实?
- 通过蜂窝网络访问?
编辑:有关我的架构的更多信息
我的家庭网络位于路由器 NAT 后面(路由器本地 IP 为 .1)。我有一台笔记本电脑和一台台式机,它们都有静态 IP。我的台式机可以无线和有线连接。我还有一个 Wii,当它需要上网等时会连接。下面是我的路由器的表格,显示了已连接的内容。
.2 <MAC ADDRESS> expired (This is my Desktops Wireless Conn.)
.3 <MAC ADDRESS> Forever (This is my laptop)
.4 <MAC ADDRESS> Forever (This is my Desktop Wired Conn.)
.8 <MAC ADDRESS> Forever (This is my Wii)
.5 <MAC ADDRESS> Forever (This is my phone)
我将所有 MAC 地址与我家里的设备进行匹配。
我也查看了路由器记录的日志(太长而无法发布)但那里唯一的 IP 是我家里的设备的 IP。
编辑:更多路由器信息
- EnGenius ESR9850
- 已启用 NAT
- 路由器防火墙已启用
- 路由器提供两个不同的 SSID(但这不会造成问题)
- 路由器有端口转发功能,将80端口转发到更高数字的端口,再转发到服务器上.6)
- 路由器设置为仅允许 .2 - .10 之间的 IP 建立连接。
- 路由器和每个 SSID 均受密码保护(所有密码都不同)
编辑:再次遭遇黑客攻击
今天我收到了以下
Attempts to use known hacks by 1 hosts were logged 1 time(s) from:
X.X.X.X: times(1)
A total of 1 sites probed the server
X.X.X.X
列出的 IP 显然是全局 IP 地址,而不是我的路由器的 IP 地址。
从下面的答案看来,我似乎只会将路由器 IP 视为“黑客”。为什么在这种情况下它会显示全局 IP。
注意:这个全局IP不是我的NAT的全局IP,也不是我的智能手机的全局IP。
答案1
由于您的服务器对互联网开放,因此它也容易受到攻击,我相信这种情况正在发生。您的路由器的外部的IP 地址位于 Internet 的某个地址段内,正在被一台或多台使用已知漏洞的受感染计算机扫描。
对您的计算机的攻击似乎来自路由器,因为路由器位于您和互联网之间:
攻击是通过您在路由器中转发到计算机的 TCP/UDP 端口进行的,这样,通过这些打开的端口到路由器的外部 IP 地址的任何连接尝试实际上都会转换为路由器到您的计算机的连接尝试,在这种情况下,路由器充当外部攻击者的代理。
由于您受到了攻击,因此升级您的安全措施是个好主意。
查看LQ 安全参考了解强化 Linux 系统的一系列可行措施。您特别感兴趣的是最后的 SSH 部分。
互联网上还有许多其他关于此主题的文章。以下文章可能有用:
在 UNIX / Linux 上保护 Apache Web 服务器安全的 10 个技巧
安全提示 - Apache HTTP 服务器