我注意到我的服务器日志显示我收到了来自圣安东尼奥 IP 的意外请求。这是垃圾邮件吗?
他们访问 phpMyAdmin、admin.. 等,这是垃圾邮件吗?
184.106.130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET //phpMyAdmin/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET //pma/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
184.106.130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET //admin/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
184.106.130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET / HTTP/1.1" 200 146 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
谢谢
答案1
看起来有人正在您的网络服务器上寻找不安全的通用脚本。
你应该担心吗?这取决于你的网络服务器上是否有任何不安全的常用脚本……
答案2
最有可能的是,有人扫描您的网站以查找他们可以使用的常用工具以及可能的常见漏洞。
这种情况经常发生。这并不意味着有人专门针对您的网站。如果您已经保护了您的网站,您就不必担心:
- 所有版本都是最新的:服务器、应用程序等。
- 所有管理工具(phpmyadmin、自定义等)只能从 127.0.0.1 访问(使用 SSH 隧道从您的客户端访问它)
- 无 SQL 注入、默认密码、日志文件可供全世界访问等。
我们会一直进行扫描以查找有漏洞的服务器。
更新:使任何管理工具和 /admin 仅对 127.0.0.1 可用(例如,在您的 Apache 配置文件中)
然后,创建一个 SSH 隧道,将远程 127.0.0.1:80 重定向到本地机器(例如端口 8000):
ssh [email protected] -L8000:localhost:80
如果您使用 Windows,Putty 可让您执行同样的事情。
然后,您可以使用以下方式访问 /phpmyadminhttp://localhost:8000/phpmyadmin
这确保了 /phpmyadmin 对任何 IP 都不可用,除非他们也可以通过 SSH 连接到您的机器。
答案3
从您发布的内容来看,他们没有在您的 Web 服务器上发现有趣的东西(大多数行都是 404)。他们只成功访问了http://yourip/(200),这是一个小于 146 字节的小页面(您的发行版的默认页面)。
如果您只需要本地访问,请设置防火墙。如果您只需要少数人访问,请将默认端口更改为不太明显的端口。更好的方法是加密连接(https)并设置密码保护(不要输入未加密的密码)。
答案4
这种情况经常发生,因此值得在一些常见的地方放置一个 CGI 或类似的东西(或使用别名使其像在那些地方一样做出响应),并让它触发某些东西来阻止它们在你的防火墙上。
当这样的事情发生时,值得看看他们是否发现了什么:
grep [connecting ip address] /path/to/access_log | grep -v '" 404 '
(尝试查找他们请求的不是 404 错误的内容)
... 如果是普通的 PHP、CGI 等,请检查是否有任何针对它的已报告漏洞)。如果他们似乎特别关注一个脚本,请集中精力,同时查看机器上是否有任何异常,例如文件的修改时间接近他们试图进入的时间。
通常,他们无法仅通过一步就进入 - 他们使用一些易受攻击的程序将文件上传到某个地方执行,然后发出第二个命令来执行它...如果你很幸运,它都会来自同一个IP,你可以很容易地找到执行的内容,如果它在运行后没有立即删除,你可以找到该文件,或者使用文件名在互联网上搜索他们可能做了什么的线索。