有时,在我的每日日志监控报告中,我注意到 httpd 下有一个部分是“尝试使用已知黑客...”,另一个部分是关于有多少网站探测了服务器。我对这些部分有几个疑问:
- apache 或 logwatch 是用于收集和报告已知黑客攻击的程序吗?哪个程序实际上知道这是已知黑客攻击?这些程序中是否有某个特定位置或参考点用于列出已知攻击?
- logwatch 是否能够报告攻击是否成功,或者我是否需要单独的软件来获取该信息?
- 当 logwatch 报告 x 个站点探测了服务器时,这到底意味着什么?是端口扫描?漏洞扫描?指纹识别?是 apache 向日志文件报告了这些情况,还是 logwatch 分析了日志文件并找出原因?
答案1
- logwatch 知道一些众所周知的黑客行为。这些都被硬编码到 logwatch 中。检查文件中
services/http以 开头的行my @exploits。你会发现这些只是检测到的一些非常简单的模式。 - 如果网络服务器没有响应错误状态,logwatch 则认为黑客攻击成功。
- 这类似于端口扫描 - 某人或某个软件检查您的网络服务器是否存在漏洞。
就我个人而言,我不会太关注那份报告。