大约每两秒钟我就会收到:
[Sat Feb 19 19:00:01 2011] [error] [client 69.239.204.217] script '/var/www
/html/forum.php' not found or unable to stat
[Sat Feb 19 19:00:04 2011] [error] [client 69.239.204.217] File does not exist: /var/www/html/404.shtml
..在我的 /var/log/httpd/error_log 文件中。
有时请求会针对 forum_asp.php。
我假设这是一个试图访问不安全论坛文件的机器人,但我不太确定,因为每个 IP 似乎都是唯一的,而不仅仅是几个恶意 IP 连续访问。而且 IP 的 whois 结果并非都是俄罗斯或中国的经典 ISP,它们更多是最终用户地址(康卡斯特等)。
如果您能对这里发生的事情有任何见解,我们将不胜感激。
此外,如果有人能提供任何可以“实时监控”网络流量的技术,我将不胜感激。我现在正在做:
tail -f error_log
谢谢。
答案1
此流量很可能是有人在您的网络块上运行自动漏洞扫描。如果您喜欢编写正则表达式,您可以设置 Fail2Ban 来扫描您的 Apache 日志,并设置动态防火墙来阻止过度生成大量 404 错误的人:
http://www.fail2ban.org/wiki/index.php/Apache
对于有关监控实时系统的第二个问题,请查看以下一项或全部:
(Debian/Ubuntu)
- 尾部-f /var/log/apache2/access.log
- a2enmod 状态 && /etc/init.d/apache2 重新加载 && apache2ctl fullstatus
- apt-get 安装 -y apachetop && apachetop