我正在查看运行 apache 2.2.10 的自制服务器,我看到了以下内容:
**.**.**.** - - [10/Nov/2010:07:05:14 +0200] ">\x03\xb6@\x1b\xbdg\x9e\xe9a)\x1a\xd8\x10U\x0f \xd2\xa4zj\x02q\xd9\xa8[\xbfy/" 400 226
**.**.**.** - - [10/Nov/2010:07:05:16 +0200] "\x1c \x10\x8f&" 400 226
**.**.**.** - - [09/Nov/2010:15:55:00 +0200] "\x1e\xcf" 200 654
**.**.**.** - - [06/Nov/2010:04:36:07 +0200] "\xce\x14\x1c`n\xeb\x8b)x\xee0}\xcbr\x88\xb9lE\x95\xd5\xd3E\x82\x9b\xe0\xb5w\xd2&\xa2>e\xdcn;\x1f\xd1\xdb\xa3" 200 654
**.**.**.** - - [08/Nov/2010:22:28:46 +0200] "\xaa\xc7P\x19h\x80\x96\x03\xd9<\x93\x8e3\x92\xb4\xf5B6;V\xb3\x9f=6s\xf8\xad\x0f\xa2^\xde/\xf5\x92\x95\x8d" 200 654
**.**.**.** - - [30/Oct/2010:03:24:39 +0300] "\x95\xdb\xdb\"\xac#\xac?\xcfQ\v(\x1c\x13\xfb\x8b\xfdq(<\xe6\x12\xff$eY1\xc9@l\x95\xbfe\x15\x84\r\r\xa1\xf1[" 400 226
到处都有类似的日志。
很可能有人或机器人正在试图寻找并利用后门。
我的问题是如何才能读懂代码背后的内容以及如何防止执行此类代码?此外,Apache 专家能否分享您应对 Apache 攻击的经验以及保护它的最佳方法是什么?
提前感谢你的帮助,
魔鬼
答案1
因此乍一看它像是某种类型溢出攻击。
在我的系统中,我经常使用 iDS、IPS(入侵检测/保护系统)
类似这样的攻击通常可以通过良好的规则集(类似于防病毒软件)来缓解。
它实时过滤流量并检查匹配项,最后如果匹配则执行指定的操作(例如 DROP)
建议使用的软件是 snort,它是开源的并且维护着一套完整的规则集。
请记住其他技术,例如速率限制和日志扫描,以发现违规行为。但是预防胜于反应,我会选择 Snort :)
希望这可以帮助