我正在运行一个 Apache Web 服务器,并尝试学习如何管理它。我尽了最大努力确保其安全,并采取了一些预防措施,例如以独立用户身份运行、禁用索引和不发送横幅。
我每天阅读日志,并偶然发现以下内容:
XXX.XXX.92.232 - admin [02/Aug/2020:11:28:11 +0200] "GET / HTTP/1.1" 200 [...]
我正在使用 CLF。我在 Wikipedia 上发现 admin 指的是 userid。通常在我的日志中,-此处只有一个。我的网页上没有任何身份验证。我不使用.htaccess文件。我担心我的网络服务器可能受到攻击。
我知道这些攻击和脚本都在试图寻找网络服务器的薄弱环节。它们最终都会落入其中404。这一次让我感到害怕,因为似乎有人试图(并成功了?)以管理员身份进行身份验证。
如果有人能解释那里发生的事情,我将非常感激。
编辑:
该IP留下的其他日志:
XXX.XXX.92.232 - - [02/Aug/2020:11:27:48 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:27:52 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:27:56 +0200] "GET /FHFactoryCheck.html HTTP/1.1" 404 341 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:28:01 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - - [02/Aug/2020:11:28:06 +0200] "GET / HTTP/1.1" 200 503 "http://my_ip:80/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
XXX.XXX.92.232 - admin [02/Aug/2020:11:28:11 +0200] "GET / HTTP/1.1" 200 503 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
没有其他日志。
答案1
Apache 访问日志的此部分中出现的用户名表示用户代理发送了 HTTP 基本身份验证标头以及用户名是什么。它并不表示是否尝试了身份验证。如果您实际上没有为此 URL 配置基本身份验证,则身份验证标头将被忽略。当未使用基本身份验证时,这并不表示受到威胁。
这实际上看起来只是另一个随机机器人尝试了很多东西,看看是否发生了一些有趣的事情,可以利用。如果这些都是日志条目,那么它很可能没有发现任何有趣的东西,然后继续前进。