刚刚检查了我的 Apache 日志,偶然发现了这个日志:服务器配置拒绝客户端。我发现奇怪的是,phpMyAdmin 版本不同。IP 在捷克:http://whois.domaintools.com/188.120.221.206
我是不是太谨慎了?
我具体可以采取什么措施来解决这个问题?
日志 http://img.skitch.com/20100315-tdp21pf8ect9nkbep4es3m81xy.jpg
答案1
我同意 Andrey 的观点。这是随机扫描机器人发起的攻击。它们会爬取互联网(通常在指定的 IP 范围内)寻找服务器上已知的漏洞,然后将发现报告给幽灵蜂巢飞船进行清除。
编辑:不确定为什么删除了此帖子。此外...
这些扫描机器人不会造成太大的问题,除非您运行的是具有已知漏洞的 Apache 版本(许多此类机器人被编程为检测缓冲区溢出和其他与 Web 服务器软件相关的错误)或您的 Web 根目录中有常用工具(即 phpMyAdmin)。请将所有 Web 工具锁起来(使用 Apache 的 https 基本身份验证,非常安全),并且不要将您的根密码设置为“cheese”。
编辑2:帖子从SO.com更新
答案2
正如这里的其他帖子所提到的,这种情况如今在日常日志漏洞扫描器(爬虫)中非常常见,我建议设置一些垃圾邮件陷阱和蜜罐,这样你就可以帮助抓住这些家伙,同时使用黑名单保护自己,禁止他们直接从他们的 IP 访问你的服务器。几个月前,我发现自己和你一样,我的日志上有很多行,如下所示
195.140.144.30 - - [16/Aug/2011:00:49:33 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 239 "-" "ZmEu"
有趣的是,所有都是 404 错误,首先我决定停止向代理 ZmEu 添加禁令,但这还不够,我搜索了又搜索,找到了 Project Honeypot,发现它很棒!我写了一些小脚本,将一些知名的盗版程序添加到我的拒绝列表中,其余的我留给他们提供的一些代码,你可以在蜜罐计划。
您还可以在网上找到一些好的 php 脚本来创建自己的黑名单和一些 .htaccess 规则来拒绝大多数知名的不良用户代理的访问。
如果您从开源或常见 PHP 工具(如 php_my_admin、博客或 CRMS)安装任何应用程序,请将其所有安装(如果可能,请删除它们)和管理文件夹重命名为一些神秘的名称,然后使用 .httacess 设置密码。
另一件事是您要经常检查您的日志并禁止违规的 IPS。
找到了一个很好的例子和参考这里。
由于您的 Web 服务器是公开的,如果您想避免不必要的意外,您必须设置一些访问规则。
以我的个人经验来看,所有的努力都是值得的,至少在过去 5 个月中,来自那些剥削者的网站流量已经减少。
我也建议你给本文读一读。
答案3
路径或连接尝试违反了 Apache 配置所设置的权限定义。正如 @Andrey 所说,这通常表明有人正在试图找到进入的方法。不过,我最好的建议是查找一些 Apache 2.x 强化指南,确保您没有任何漏洞。
更新:现在您已上传日志,看起来此人正在尝试访问您的 MyPHPAdmin。XAmmp,可能设置这些路径只能由“localhost”访问,这反过来会导致拒绝任何外部访问的权限。无论如何,我之前的建议仍然有效...
答案4
这是互联网背景噪音。我的建议是使用 OSSEC 或 Fail2ban 等应用程序来自动禁止此类攻击。