我正在看我的自制服务器上运行Apache 2.2.10,这就是我看到:
**.**.**.** - - [10/Nov/2010:07:05:14 +0200] ">\x03\xb6@\x1b\xbdg\x9e\xe9a)\x1a\xd8\x10U\x0f \xd2\xa4zj\x02q\xd9\xa8[\xbfy/" 400 226 **.**.**.** - - [10/Nov/2010:07:05:16 +0200] "\x1c \x10\x8f&" 400 226 **.**.**.** - - [09/Nov/2010:15:55:00 +0200] "\x1e\xcf" 200 654 **.**.**.** - - [06/Nov/2010:04:36:07 +0200] "\xce\x14\x1c`n\xeb\x8b)x\xee0}\xcbr\x88\xb9lE\x95\xd5\xd3E\x82\x9b\xe0\xb5w\xd2&\xa2>e\xdcn;\x1f\xd1\xdb\xa3" 200 654 **.**.**.** - - [08/Nov/2010:22:28:46 +0200] "\xaa\xc7P\x19h\x80\x96\x03\xd9<\x93\x8e3\x92\xb4\xf5B6;V\xb3\x9f=6s\xf8\xad\x0f\xa2^\xde/\xf5\x92\x95\x8d" 200 654 **.**.**.** - - [30/Oct/2010:03:24:39 +0300] "\x95\xdb\xdb\"\xac#\xac?\xcfQ\v(\x1c\x13\xfb\x8b\xfdq(<\xe6\x12\xff$eY1\xc9@l\x95\xbfe\x15\x84\r\r\xa1\xf1[" 400 226 各地都有类似的日志。
很可能有人或机器人正试图find并利用后门。
我的问题是如何读取代码背后的内容,以及如何防止这些代码被执行? 你也可以apache的大师分享你的经验与Apache的攻击和保护它的最好方法是什么?
提前感谢您的帮助,
恶魔
所以看起来像是一些types溢出攻击。
在我的系统中,我经常使用iDS,IPS(入侵检测/保护系统)
像这样的攻击通常是由一个好的规则集(类似于防病毒软件)来解决的。
它实时过滤stream量并检查匹配,最后如果匹配执行指定的操作(例如DROP)
软件的build议是snort,它是开源的,并且维护一个全面的规则集。
请记住其他技术,如限速,login扫描,以赶上犯规。 但预防胜于反应,我会去与Snort 🙂
希望这可以帮助