我很确定我的服务器被黑客入侵了。我在访问日志中看到这些条目是一系列 500 错误消息之前的最后两个,它与数据库有关,但我还没有找到确切的错误。我仍在试图弄清楚这意味着什么 - 有人能帮我吗:
208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"
更新
好的 - 经过进一步调查 - 由于某种原因,mysql 服务被关闭了。我重新启动了它,一切看起来都很正常。没有数据丢失,但这些奇怪的条目确实让我感觉很不舒服 - 我如何检查是否有人进入过我的系统?
在我的 MYSQl 日志中我看到了这些行 - 这与所发生的事情有什么关系?
Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution
110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown
110616 17:34:20 InnoDB: Starting shutdown...
110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508
110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete
110616 17:34:21 mysqld ended
答案1
DFind 扫描只是扫描,并不表示存在违规行为;如果你仔细观察,就会发现它的存在。参见这里。
这是一次正常的 MySQL 关闭,这可能需要进一步调查,但其本身并不十分可疑。
答案2
访问日志中的这两条条目无需担心。
第一个完全没问题(208.90.56.152 上的某个人请求您的网站根目录并得到了它),第二个看起来像是 69.162.74.102 上的某个人试图访问w00tw00t.at.ISC.SANS.DFind:)
您网站上的一个名为的文件……当然没有找到它。
人们(或机器人)可能会向您的网络服务器询问最奇怪的事情;这并不重要,重要的是他们找不到它们:-)
答案3
您的原始访问日志中的记录GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1
表明有人正在运行具有此指纹的漏洞扫描程序。
仅凭此条目并不意味着您已被黑客入侵。它仅意味着有人使用 Web 漏洞扫描程序扫描您的服务器以查找潜在漏洞。这些条目后面可能会跟着其他暴力破解条目(实际的黑客攻击尝试)。
这篇文章应该给你一个信息。保持代码干净!大多数网站几乎每天都会受到这样或那样的攻击。最好的防御方法是了解你可以做些什么来保护你的文件、目录和脚本免受黑客攻击。确保你的文件和目录权限设置正确。更重要的是,只使用在互联网上享有良好安全声誉的安全脚本,并确保你每月至少检查一次脚本的父站点是否有更新和错误修复。
有关的:
答案4
正如其他人提到的,它只是一个扫描器。在几十个网络服务器上,我看到了大约 15 种 w00t 变体;过去一年的点击量可能有几十万次。如果它让你烦恼,只需添加一个 Apache 指令来拒绝任何具有雙重UserAgent 字符串。我跟踪了这些东西,所以我让它命中。