可能重复:
我的服务器被黑了 紧急求助
通过查看我的日志,我发现了这一点:
(日志文件位于该粘贴上)。
问题是,这个人开始使用“允许所有请求”,这是什么意思?(请解释一下?)最后从“127.0.0.1”发出请求,这意味着他在使用我的本地系统?
如果有人可以解释这一点,或者帮助防止这种情况发生,我很想知道,并将不胜感激。
谢谢!
附言:我已经封锁了他们的 IP,但如何才能防止这种情况再次发生呢?
答案1
不要恐慌。一般建议,在阅读日志并尝试从中获取一些与安全相关的意义之前,一定要充分透彻地理解它的含义。否则,您会因为太多“看起来危险”的日志条目而心脏病发作。
您所看到的只是互联网背景噪音 - 有人试图利用您的配置来寻找可能的弱点。此类“攻击”通常只是盲目尝试利用配置问题或实施错误,其中大多数没有任何效果。绝对没有办法阻止这种情况。
您在原始日志粘贴中看到的 127.0.0.1 日志条目是由您自己的系统诱导的条目 - 很可能不是代表攻击者,而是通过您自己的操作。