Подозрительные запросы в файле журнала веб-сервера apache
Я нашел запросы Folowing на своем веб-сервере apache. это попытки взлома? это будет вредно для сервера.
Мой сервер часто выходит из строя и не имеет причин для этого,
GET /muieblackcat HTTP/1.1" 302 214
GET //index.php HTTP/1.1" 302 214
GET //admin/index.php HTTP/1.1" 302 214
GET //admin/pma/index.php HTTP/1.1" 302 214
GET //admin/phpmyadmin/index.php HTTP/1.1" 302 214
/user/soapCaller.bs HTTP / 1.1 "302 214
GET /robots.txt HTTP/1.0" 302 214.
Мы видим много запросов на несуществующие файлы setup.php
GET /phpmyadmin/scripts/setup.php HTTP/1.1" 302 214
GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /MyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /myadmin/scripts/setup.php HTTP/1.1" 302 214
GET //typo3/phpmyadmin/index.php HTTP/1.1" 302 214
GET /pma/scripts/setup.php HTTP/1.1" 302 214
GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 302 214
Ниже запрос также доступен на сервере. Какой запрос это. 95.211.124.232 - - [16/Aug/2012:18:14:52 +0800] "CONNECT yandex.ru:80 HTTP/1.1" 302 214
Кто-нибудь, пожалуйста, помогите в этом, чтобы понять проблему сбоя сервера.
3 ответа
Да, это вероятно попытка взломать ваш сервер. Хакер делает звонки на URL с известными слабостями. Тем не менее, вы в безопасности, пока эти файлы не существуют на вашем сервере.
Что вас должно беспокоить, так это наличие файла с известным недостатком.
Одним из временных решений было бы заблокировать IP-адрес, с которого сделаны эти вызовы. Вы также должны проверить, действительно ли какие-либо вызовы с этого конкретного IP-адреса обнаружили существующую страницу.
Единственное постоянное решение - обновить все ваше программное обеспечение, чтобы вы не были уязвимы для известных слабых мест безопасности.
Эти http-вызовы не могут объяснить, почему ваш сервер падает.
PS: /robot.txt не является попыткой взлома. Это файл, который ищут поисковые системы, такие как Google, чтобы получить инструкции о том, как проиндексировать ваш сайт. Это совершенно нормально.
Я хотел бы спросить, используете ли вы php вообще, большинство веб-пространств поддерживают множество функций, если вы не используете php, cgi, ssi и т. д., вы можете отключить его. также может быть хорошей идеей смотреть ваши сообщения (linux? tail -f /var/log/messages) там, где вы можете видеть живые действия. другой идеей было бы переместить хорошо известные порты ssh и других демонов, кроме http, в верхние странные порты выше 1024 - или если у вас есть собственный публичный ip, с которого вы выходите в интернет, вы можете настроить брандмауэр так, чтобы он принимал соединение только с этими портами. с вашего собственного ip.
Хорошим решением было бы, если вы используете Apache/WHM, установить Mod_security и CSFirewall. Mod_Sec будет следить за вредоносной активностью и пускать ips в брандмауэр, если они часто запускают одно и то же правило безопасности.
Другое решение, которое является довольно экстремальным, заключается в блокировке всего трафика IP в брандмауэре на основе кода страны. Например, если вы заметили, что большинство ваших атак идет из Украины и 99% вашей базы пользователей находятся за пределами США, тогда блокируйте всю страну-нарушителя. Как я сказал.. это крайность.
Также обратите внимание, что запуск mod_sec и csf может замедлить работу сервера, поскольку он должен проверять базу данных брандмауэра на наличие всего входящего трафика.