我正在构建某种 Web 应用程序,目前整个程序都在我的机器上运行。我仔细检查了我的日志,发现了几个“奇怪”的日志条目,这让我有点疑神疑鬼。下面是一些日志条目:
***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054
该死的...这是什么?!
答案1
除非您注意到服务器上出现了奇怪的新文件、更改的系统文件或其他奇怪的行为,否则我不会太担心这些奇怪的日志条目。如果您的服务器对互联网开放,任何人都可以向您的服务器发送格式错误的 HTTP 请求,而许多人(或机器人)就是这么做的。
他们为什么要这么做?因为有些网络服务器存在已知漏洞,只要向它们发送“正确”类型的请求,就可以利用这些漏洞。所以你看到的可能是已知(甚至未知)漏洞的探测。如果这能让你感觉更安全,你可以采取追溯性措施,例如阻止/禁止发送格式错误或未知请求的 IP(使用 iptables、fail2ban 等)。
就我个人而言,我认为将“坏”IP 列入黑名单并不值得,因为当你在日志文件中看到它们的踪迹时,它们要么知道你没有漏洞,要么你已经被黑客入侵了。我相信更好的方法是主动出击安全性:
始终、一丝不苟、虔诚地为您的服务器软件打上全面补丁并保持最新状态。
尽可能保持攻击规模小:不要在服务器上安装/运行任何不必要的软件。并且,奥卡姆的威廉曾经说过,“没有必要增加用户账户。”
防火墙保护您的服务器。(或者不,但要知道自己在做什么。)
运行入侵检测系统,例如助手,操作系统安全评估中心, 或者萨温节。当系统文件意外更改时,它会向您发出警报,这通常表明您的服务器已被入侵。
运行系统监控/绘图软件,例如穆宁,仙人掌,收集或类似情况。定期查看图表,了解正常系统负载是什么样子,以及常规趋势是什么样子。然后,当图表显示您从未见过的内容时,您就会有动力进行进一步调查。
运行网络日志分析器/绘图器,例如网络管理者或者统计信息。再次,熟悉正常操作的样子,这样当事情不正常时你就能很快识别出来。
运行单独的日志服务器(最好是在最小的、安全强化的、不运行任何其他程序的系统上),并配置您的服务器以将其日志发送到它。这会使入侵者更难掩盖其踪迹。
答案2
你运行的是什么类型的服务器?Apache?
这看起来像是一个 IIS 漏洞....Code Red/NIMDA
答案3
每个可公开访问的 Web 服务器整天都会收到这样的请求。他们只是盲目地尝试针对您的服务器的已知漏洞。我经常做的是将 Web 服务器配置为在收到对其 IP 的请求时显示空白页(即http://10.0.0.1)。我只允许在请求正确的虚拟主机域时出现网站。
查看通过 IP 而不是域名访问 Web 服务器时会出现什么网站。大多数抓取 netter-tubes 的漏洞脚本都没有执行有效的虚拟主机请求(正确的虚拟主机标头)。
您还可以研究各种实用程序,这些实用程序将自动阻止尝试恶意请求的 IP 地址。
答案4
那么假设这些 IP 地址是您自己的而不是外部地址,那么它可能只是您的 Web 应用程序日志垃圾。
这让我想起了曾经看到过 PHP 以 UTF8 格式记录数据,然后将其编码/转义为 ASCII 的情况,这导致了看起来非常相似的消息。