当我查看 Apache 错误日志时,它似乎产生了相当奇怪的输出
[Sun Oct 27 08:32:51.340219 2019] [:error] [pid 23596] [client
23.224.45.82:49441] script '/var/www/xiong.php' not found or unable to stat
[Sun Oct 27 08:32:51.476946 2019] [:error] [pid 23596] [client 23.224.45.82:49441] script '/var/www/jing.php' not found or unable to stat
[Sun Oct 27 08:32:51.579280 2019] [:error] [pid 23596] [client 23.224.45.82:49441] script '/var/www/ganshiqiang.php' not found or unable to stat
[Sun Oct 27 08:32:51.681687 2019] [:error] [pid 23596] [client 23.224.45.82:49441] script '/var/www/n23.php' not found or unable to stat
[Sun Oct 27 08:32:51.786535 2019] [:error] [pid 23596] [client 23.224.45.82:49441] script '/var/www/infos.php' not found or unable to stat
还有 100 多条相同的线路
我的目录中n23.php没有该文件,这可能是什么原因?我的 VPS 是否可能已被入侵?如果是这样,我该如何处理?infos.php/var/www
答案1
我的电脑上
n23.php也 没有这个文件 ,这可能是什么原因呢?infos.php/var/www dir
这些可能是自动网络攻击。这些攻击通常是随机的,因为有些工具会尝试对遇到的任何网络服务器发起一系列此类攻击,希望网络服务器存在漏洞(即服务器未打补丁或之前已被入侵,但服务器运行者却不知道)。
我的 VPS 有可能已被入侵吗?
理论上是这样的,但由于这些攻击失败了(script not found or unable to stat),所以可能性似乎较小。这些类型的攻击本身并不表示主机已受感染。运行公共 Web 服务器的每个人都会在某个时候在他们的日志中收到这些类型的条目(只要您运行一个 Web 服务器,您就可能会继续收到此类条目)。
如果是这样,我该如何解决此问题?
如果不了解您的 VPS,我建议,从您认为未受损害的快照恢复可能是最简单的方法。或者从头开始重建服务器。但除非您注意到任何其他奇怪的行为,否则这些解决方案似乎有点过头了。如上所述,您在此处提供的几个日志条目(相对而言)并不异常。卷可以令人担忧(100 多行),但由于您是从 VPS 提供商(无疑托管了许多网站)租用的,因此攻击者可能会付出更多努力来破坏其中一个或多个网站,这似乎并不奇怪。
需要考虑的一件事是手动过滤这些类型的不良请求。对于 Apache,这通常需要编写黑名单并结合以下一些方法mod_rewrite,mod_alias(<RedirectMatch>)并<FilesMatch>在收到这些类型的请求后单独丢弃它们。