我注意到我的服务器日志,我收到来自圣安东尼奥一个IP的意外请求。 这是垃圾邮件吗?
他们访问phpMyAdmin,pipe理..等是这个垃圾邮件?
184.106.130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET //phpMyAdmin/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro" 130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET //pma/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro" 184.106.130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET //admin/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro" 184.106.130.137 184.106.149.110 - [21/Nov/2010:16:56:36 +0000] "GET / HTTP/1.1" 200 146 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro" 谢谢
看起来像在您的networking服务器上寻找不安全的通用脚本的人。
你应该担心吗? 取决于您的networking服务器上是否有任何不安全的通用脚本…
很可能有人在扫描您的网站以find可以使用的通用工具,并可能是常见的漏洞。
这一直发生。 这并不意味着有人专门针对您的网站。 如果你已经保护你的网站,你不应该担心:
有一直在扫描发现有漏洞的服务器。
更新:使任何pipe理工具,和/pipe理,只可用于127.0.0.1(例如在你的Apacheconfiguration文件)
然后,创build一个SSH隧道,将远程127.0.0.1:80redirect到本地计算机(例如,端口8000):
ssh [email protected] -L8000:localhost:80
如果你使用Windows,Putty可以让你做同样的事情。
然后,您可以通过http:// localhost:8000 / phpmyadmin访问/ phpmyadmin
这确保比/ phpmyadmin不可用于任何IP,除非他们也可以SSH到您的盒子。
从你发布的内容来看,他们在你的web服务器上找不到有趣的东西(大多数行是404)。 他们只能成功地成功http://yourip/ (200)这是一个小于146字节的小页面(你的发行版的默认页面)。
如果您只需要本地访问,请放置防火墙。 如果您只需要几个人访问它,请将默认端口更改为不那么明显。 更好的是,encryption连接(https)并设置密码保护(不要将密码不encryption)。
这经常发生,因此值得在一些常见的地方放置一个CGI或者类似的东西(或者使用别名来响应,就好像它在那些地方一样),并且让它在你的防火墙上触发一些东西来阻止它们。
当这样的事情发生时,值得看看是否发现了一些东西:
grep [connecting ip address] /path/to/access_log | grep -v '" 404 '
(试图find他们所要求的不是404错误)
…如果是股票PHP,CGI等,检查是否有任何报告的漏洞反对它)。 如果他们似乎专注于一个脚本,那么专注于此,还要看看机器上是否有任何exception,比如修改时间接近他们试图进入的文件。
通常,他们不能只进入一步 – 他们使用一些易受攻击的程序将file upload到执行的某个地方,然后发出第二个命令来执行它……如果你幸运的话,它们都来自同一个IP,你可以很容易地find执行的东西,或者find该文件,如果它没有立即删除后运行,或使用文件名search互联网的线索,他们可能会“已经完成了。