apache2 服务器日志-奇怪的活动?

tag-icon tag-icon hacking
apache2 服务器日志-奇怪的活动?

我正在查看 apache 日志,我认为其中一些访问日志看起来很可疑...我不是专业人士,只是把服务器管理当作业余爱好:)所以我想知道我是否应该采取一些措施...

86.138.17.122 - - [20/May/2012:12:53:14 +0200] "\xcb\xaap\xdc\xf9\xba\xec\x0e\x11\xfa\x1d%\x1f\xe9L$\xff\xa6\xe8-\xd2\x11" 501 309 "-" "-"

218.246.22.178 - - [20/May/2012:14:49:22 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"

31.176.134.118 - - [21/May/2012:10:32:31 +0200] "\xbe" 501 288 "-" "-"

92.80.76.244 - - [20/May/2012:13:28:19 +0200] "-" 408 0 "-" "-"

我不确定最后一个,但前三个肯定看起来像是有人在探测我的服务器上不存在的软件。

sudo grep -ir "218.246.22.178" /var/log/apache2/*

/var/log/apache2/access.log:218.246.22.178 - - [20/May/2012:14:49:22 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/access.log.1:218.246.22.178 - - [19/May/2012:23:01:55 +0200] "GET /translators.html HTTP/1.1" 404 533 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/access.log.1:218.246.22.178 - - [20/May/2012:06:30:03 +0200] "GET /phpmyadmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/error.log:[Sun May 20 14:49:22 2012] [error] [client 218.246.22.178] File does not exist: /var/www/phpMyAdmin
/var/log/apache2/error.log.1:[Sat May 19 23:01:55 2012] [error] [client 218.246.22.178] File does not exist: /var/www/translators.html
/var/log/apache2/error.log.1:[Sun May 20 06:30:03 2012] [error] [client 218.246.22.178] File does not exist: /var/www/phpmyadmin
/var/log/apache2/other_vhosts_access.log::443 218.246.22.178 - - [20/May/2012:14:49:19 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 401 3233 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/other_vhosts_access.log.1::443 218.246.22.178 - - [20/May/2012:06:30:02 +0200] "GET /phpmyadmin/translators.html HTTP/1.1" 401 3232 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"

答案1

对于任何暴露在互联网上的 Web 服务器来说,这都是相当常见的行为。黑客正在扫描漏洞和开放代理。查看失败2ban阻止他们,日志监视监视任何异常情况。

答案2

它是漏洞扫描程序,用于搜索过时/可利用的软件,很可能会扫描大范围的地址。如果您保持堆栈为最新 - 可能您不需要担心。

您可以尝试扫描自己的网站,例如使用nikto2只是为了看看发送了什么样的请求,并可能找到如何更好地保护您的设置。

这是否只是通过模糊性来实现安全还是一种良好的做法还有待商榷,但您也可以配置您的默认虚拟主机 [大多数扫描将通过 ip 地址而不是域名来调用您的服务器] 以不提供任何内容并仅响应错误或静态页面。

答案3

这些是研究机构甚至攻击者经常运行的漏洞扫描机器人。除非这些扫描命中并返回 HTTP 200 响应代码,否则您不必担心。

一些常见的扫描会在你的服务器上留下以下痕迹

       /w00tw00t.at.ISC.SANS.test0:): 1 Time(s)

在任何面向互联网的服务器上,始终建议使用防火墙。您可以手动配置 iptables,甚至可以安装 csf(ConfigServer Firewall),这是一个免费的开源防火墙,可以防御各种常见攻击。

相关内容