这是一次黑客攻击吗?

这是一次黑客攻击吗?

所以今天我很惊讶地在我的 error.log 中发现了这个。这个域名是几周前注册的,是私有的。除了我之外没有人认识我。我输入了一个 authtype 登录名。

[Sun Oct 25 17:37:38 2009] [crit] [client 88.191.76.63] configuration error:  couldn't perform authentication. AuthType not set!:
/phpmyadmin/scripts/setup.php
[Sun Oct 25 18:57:47 2009] [error] [client 96.9.152.120] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23):
/w00tw00t.at.ISC.SANS.DFind:)

答案1

/w00tw00t.at.ISC.SANS.DFind:是“Dfind”漏洞扫描程序的一个非常常见的请求签名。Dfind 扫描程序似乎会以恶意软件或木马的形式安装在人们的 Windows 机器上,但它可以从一些来源合法下载(只需谷歌一下)。

它基本上是在检查您的安全漏洞,因此不完全是黑客攻击,但它相当于有人在监视网站。也就是说,只要您保护了网站的其他部分,这种情况就非常常见且相对无害。您可以使用 URL 重写、ACL、Apache 指令等的任意组合轻松阻止这些请求。

在公共 IP 上的端口 80 上运行的任何服务器都可能会在某个时候看到这一点。

如果您正在使用 phpmyadmin,您可能应该使用 ACL 或类似方法保护它,以防止任何不属于您的 IP 进行访问,更改目录别名使其更难以理解,和/或仅在您需要使用它时才打开它。

附注:您可以使用 MySQL 自己的 MySQLAdministrator 和 MySQLQueryBrowser,它们功能更多,界面更好,并且为了允许远程访问服务器而不将其暴露给世界,请设置安全的 SSH 隧道。我写了关于如何在博客如果你感兴趣。

高血压

答案2

互联网上的任何服务器都会收到这样的登录尝试。第二个错误是,请求发送时没有主机名,这表明(假定的)攻击者根本不知道您的域名,只是在尝试尽可能多的 IP 地址。

您是否真的设置了“phpmyadmin”?或者这只是某些人为了寻找软目标而发送的随机请求?

相关内容