下面是我在 Apache 日志文件夹中发现的一个奇怪的访问日志的副本:
127.0.0.1 - - [24/Oct/2010:13:49:45 +0200] "GET /x64 HTTP/1.1" 301 229
127.0.0.1 - - [24/Oct/2010:13:49:48 +0200] "GET /x64/ HTTP/1.1" 200 268
127.0.0.1 - - [24/Oct/2010:13:49:52 +0200] "GET /favicon.ico HTTP/1.1" 404 209
127.0.0.1 - - [24/Oct/2010:13:50:19 +0200] "GET /x64/www.blackdot.be/ HTTP/1.1" 302 208
127.0.0.1 - - [24/Oct/2010:13:50:28 +0200] "GET /favicon.ico HTTP/1.1" 404 209
为什么会有这个?我查过“www.blackdot.be”,这是一个我以前从未见过的德国网站,更别说尝试连接了!
这是否存在安全风险?——仅供参考:我正在运行 WAMP v2.1e(32 位)
还有一个mod_jk日志(我从来没有用过这个模式!!),根据时间戳判断,它显然与访问日志相关:
[Sun Oct 24 13:49:28.665 2010] [524:1060] [info] init_jk::mod_jk.c (3183): mod_jk/1.2.28 initialized
[Sun Oct 24 13:49:29.008 2010] [524:1060] [info] init_jk::mod_jk.c (3183): mod_jk/1.2.28 initialized
[Sun Oct 24 13:49:30.024 2010] [2676:1992] [info] init_jk::mod_jk.c (3183): mod_jk/1.2.28 initialized
[Sun Oct 24 13:49:31.008 2010] [2676:1992] [info] init_jk::mod_jk.c (3183): mod_jk/1.2.28 initialized
有人能向我解释一下这些日志吗?
注意:我在这里仅使用 WAMP 作为本地开发服务器,它不托管任何实时站点并且不应有实时访问!
答案1
不,这不是安全风险。apache 按照预期回答说没有这样的文件。
但这可能是一个安全漏洞指示器。我假设主机是一台 Windows 机器。可能是该机器上有病毒/木马试图到处连接?碰巧找到了您的服务器并负责日志条目。
不仅如此。www.blackdot.be 是一个比利时网站,提供针对 x64 Windows 机器的自定义编译的 Apache 二进制文件。您是从那里获取二进制文件的,对吗?
答案2
- 您的防火墙没有发挥其作用。
- 如果你不使用 Apache httpd 和 Tomcat,你可以安全地禁用 mod_jk
- 不要在 WAMP 包上运行生产系统,手动配置所有软件。默认情况下,它几乎没有启用任何安全措施。