本质上,我在家里安装了一个网络摄像头来记录运动,并且我设置了一个基本的 Apache 服务器,以便我可以从外部访问存储的视频。
服务器在我的笔记本电脑上运行,我已将笔记本电脑的 IP 端口转发到端口 80,然后我设置动态 DNS,以便无论我的 IP 是否更改,我都可以访问相同的域名。
它已经运行了一天,当我检查访问日志并发现一些非常可疑的活动时: http://pastebin.com/a8xSALaJ 抱歉写了这么长,我不想删掉任何重要的内容。
我的 Apache 配置实际上是默认的,文档根目录位于 /var/www/html
我有 3 个问题:
1 - 日志中是否有恶意内容/攻击者试图做什么(第 152 行有一个非常可疑的日志
access.log:1203:74.217.28.153 - - [19/Feb/2016:05:36:48 +0000] "GET http://pastebin.com/raw.php?i=GNsjKYy5 HTTP/1.1" 404 442 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"
2 - 我如何才能防止将来再次发生此类攻击
3 - 这个人到底是怎么找到我的 IP 的?我当然没有公开它……
正如您所知,我的网络知识相当基础,但我真的想学习更多,因此任何信息都将不胜感激!
更新
自从发布这篇文章以来,我注意到一些特别令人担忧的事情 - 不确定这是否相关,尝试做一个 apache2 --version:
apache2 --version
[Sat Feb 20 18:24:19.273672 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOCK_DIR} is not defined
[Sat Feb 20 18:24:19.273756 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_PID_FILE} is not defined
[Sat Feb 20 18:24:19.273778 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_USER} is not defined
[Sat Feb 20 18:24:19.273796 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_GROUP} is not defined
[Sat Feb 20 18:24:19.273826 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276425 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276615 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276641 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
AH00526: Syntax error on line 74 of /etc/apache2/apache2.conf:
Invalid Mutex directory in argument file:${APACHE_LOCK_DIR}
答案1
对第一个问题的答案是,很难说清楚正在发生什么类型的“攻击”或者攻击者试图实现什么目的。
如果您查看该条目,日志会显示某事只是在请求网页。如果您访问该网页,它包含文本字符串formyproxycheckerandyquezhasabigdick
。
如果我们用 Google 搜索您的服务器所请求的 URL,我们会发现许多网站报告看到该 URL 被请求。
看起来这是用来抓取和过滤代理的。
http://pastebin.com/Qhb1eWXU http://urlquery.net/report.php?id=1453470052748
我将寻求帮助来查找并删除该计算机上的任何恶意软件。
现在对于您的第二个问题,这些日志条目似乎与直接运行 Apache 有关。当您想要启动 Apache 时,请尝试使用以下命令。
sudo service apache2 start
你问别人怎么能找到你的设备。说实话,如果你的网关设备上有端口开放,别人很可能会找到它。如果你从未听说过 Shodan,你应该谷歌一下,这样你就能了解发生了什么以及它会对你产生什么影响。
除非必要,否则切勿打开端口,始终阻止端口扫描,并且切勿在连接到互联网的任何设备上留下默认密码。