我前段时间安装了 Apache,快速查看我的 access.log 发现各种未知 IP 都在连接,大多数状态代码为 403、404、400、408。我不知道他们是如何找到我的 IP 的,因为我只将其用于个人用途,并添加了 robots.txt 希望它能让搜索引擎远离。我阻止了索引,但上面没有什么真正重要的内容。
这些机器人(或人)如何找到服务器?这种情况常见吗?这些连接危险吗/我该怎么办?
此外,许多 IP 来自各种国家,并且无法解析主机名。
以下是一些示例:
该机器人进行了一次大规模扫描,试图找到 phpmyadmin:
"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"
我得到了很多这样的:
"HEAD / HTTP/1.0" 403 - "-" "-"
很多“proxyheader.php”,我收到很多带有 http:// 链接的 GET 请求
"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
“连接”
"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"
“soapCaller.bs”
"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"
还有这个非常粗略的十六进制废话......
"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"
空的
"-" 408 - "-" "-"
这就是要点。我收到各种垃圾信息,甚至使用 win95 用户代理也是如此。
谢谢。
答案1
欢迎来到互联网:)
- 他们如何找到你:很有可能是暴力 IP 扫描。就像他们一旦发现您的主机漏洞,就会不断对其进行扫描一样。
- 为了防止将来发生这种情况:虽然无法完全避免,但你可以禁用 Apache 上的 Fail2Ban 等安全工具或速率限制 - 或手动禁止 - 或设置 ACL
- 这很常见在任何响应公共端口的外部可访问硬件上查看此信息
- 这很危险如果您的主机上有未打补丁的软件版本,则可能会存在漏洞。这些只是盲目的尝试,看看您是否有任何“酷”的东西可供这些脚本小子摆弄。想象一下有人在停车场里走来走去,试图打开车门,看看它们是否被解锁,确保您的车门没有锁,那么他很可能会放过您的车门。
答案2
这些人只是想寻找服务器漏洞。几乎可以肯定,这些漏洞是由受感染的机器完成的。
它只是扫描特定 IP 范围的人——您可以从 phpMyAdmin 中看到,它正在尝试查找安全性较差的 PMA 预安装版本。一旦找到,它就可以意外地访问系统。
确保您的系统保持最新,并且没有任何不需要的服务。
答案3
这些机器人会扫描已知的安全漏洞。它们会扫描整个网络范围,因此会找到像您这样的未公开的服务器。它们并不友善,也不关心您的 robots.txt。如果它们发现漏洞,它们会记录下来(您可以很快预料到会遭到手动攻击),或者会自动用 rootkit 或类似恶意软件感染您的机器。您对此无能为力,这只是互联网上的正常现象。这就是为什么始终为您的软件安装最新的安全修复程序很重要的原因。
答案4
互联网是公共空间,因此有公共 IP 一词。除了设置某种方式拒绝公共访问(vpn、防火墙上的 acl、directaccess 等)外,您无法隐藏。这些连接很危险,因为最终有人会比您修补的速度更快地利用您。我会在回应之前考虑某种身份验证。