我们的一个网络服务器遇到了一些奇怪的问题。服务器似乎有时会离线几分钟,最长可达一小时。在调查日志文件后,我发现了许多这样的条目
94.23.96.3 - - [23/May/2011:10:01:26 +0200] "GET /webdav/shell.php?act=phptools&host=69.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
94.23.96.3 - - [23/May/2011:10:02:00 +0200] "GET /webdav/shell.php?act=phptools&host=69.x.x.149&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:13 +0200] "GET /webdav/shell.php?act=phptools&host=24.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:14 +0200] "GET /webdav/shell.php?act=phptools&host=24.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:28 +0200] "GET /webdav/shell.php?act=phptools&host=67.x.x.xt&ime=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:28 +0200] "GET /webdav/shell.php?act=phptools&host=67.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:42 +0200] "GET /webdav/shell.php?act=phptools&host=99.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
173.242.123.168 - - [23/May/2011:09:52:42 +0200] "GET /webdav/shell.php?act=phptools&host=99.x.x.x&time=120&port=80 HTTP/1.1" 302 260 "-" "-"
我检查了服务器和 Apache 根目录,确认该网站没有被黑客入侵。但我什么也没发现。
有人能解释一下这是什么吗?我们该如何阻止这种情况?
我们正在运行Ubuntu 10.04 LTS最新更新
Apache Server version: Apache/2.2.14 (Ubuntu)
答案1
打开的 IP 正在尝试浏览页面 /webdav/shell.php?,因为它可能是一个已知漏洞。如果您有这样的应用程序,他们会尝试入侵您的服务器或以某种方式使用它来传播他们的信息。
看起来您已经有一个 Apache 重写来处理 404 页面(基于 302 响应代码)..
将 IP 添加到您的 iptables 或防火墙设备...