Apache2 访问日志可疑,这是什么样的攻击

Apache2 访问日志可疑,这是什么样的攻击

本质上,我在家里安装了一个网络摄像头来记录运动,并且我设置了一个基本的 Apache 服务器,以便我可以从外部访问存储的视频。

服务器在我的笔记本电脑上运行,我已将笔记本电脑的 IP 端口转发到端口 80,然后我设置动态 DNS,以便无论我的 IP 是否更改,我都可以访问相同的域名。

它已经运行了一天,当我检查访问日志并发现一些非常可疑的活动时: http://pastebin.com/a8xSALaJ 抱歉写了这么长,我不想删掉任何重要的内容。

我的 Apache 配置实际上是默认的,文档根目录位于 /var/www/html

我有 3 个问题:

1 - 日志中是否有恶意内容/攻击者试图做什么(第 152 行有一个非常可疑的日志

access.log:1203:74.217.28.153 - - [19/Feb/2016:05:36:48 +0000] "GET http://pastebin.com/raw.php?i=GNsjKYy5 HTTP/1.1" 404 442 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"

2 - 我如何才能防止将来再次发生此类攻击

3 - 这个人到底是怎么找到我的 IP 的?我当然没有公开它……

正如您所知,我的网络知识相当基础,但我真的想学习更多,因此任何信息都将不胜感激!

更新

自从发布这篇文章以来,我注意到一些特别令人担忧的事情 - 不确定这是否相关,尝试做一个 apache2 --version:

apache2 --version
[Sat Feb 20 18:24:19.273672 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOCK_DIR} is not defined
[Sat Feb 20 18:24:19.273756 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_PID_FILE} is not defined
[Sat Feb 20 18:24:19.273778 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_USER} is not defined
[Sat Feb 20 18:24:19.273796 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_GROUP} is not defined
[Sat Feb 20 18:24:19.273826 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276425 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276615 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276641 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
AH00526: Syntax error on line 74 of /etc/apache2/apache2.conf:
Invalid Mutex directory in argument file:${APACHE_LOCK_DIR}

答案1

对第一个问题的答案是,很难说清楚正在发生什么类型的“攻击”或者攻击者试图实现什么目的。

如果您查看该条目,日志会显示某事只是在请求网页。如果您访问该网页,它包含文本字符串formyproxycheckerandyquezhasabigdick

如果我们用 Google 搜索您的服务器所请求的 URL,我们会发现许多网站报告看到该 URL 被请求。

看起来这是用来抓取和过滤代理的。

http://pastebin.com/Qhb1eWXU http://urlquery.net/report.php?id=1453470052748

我将寻求帮助来查找并删除该计算机上的任何恶意软件。

现在对于您的第二个问题,这些日志条目似乎与直接运行 Apache 有关。当您想要启动 Apache 时,请尝试使用以下命令。

sudo service apache2 start

Apache2 配置变量未定义

你问别人怎么能找到你的设备。说实话,如果你的网关设备上有端口开放,别人很可能会找到它。如果你从未听说过 Shodan,你应该谷歌一下,这样你就能了解发生了什么以及它会对你产生什么影响。

除非必要,否则切勿打开端口,始终阻止端口扫描,并且切勿在连接到互联网的任何设备上留下默认密码。

相关内容