服务器被冻结了,我不在的时候没有反应。 重新启动修复它。
Apache错误日志根本没有显示任何内容,但是在重启之前,apache访问日志上的最后一件事是一堆乱七八糟的字符,大约有一百个重复的^ @字符,然后几KB(我猜)二进制有效载荷 – 诸如“80”,“80”,“8”,“9”,“9”,“9”,“
这是什么意思? 我该怎么办?
^ 0只是ASCII 0的一个表示 – 如果你做了man ascii的man ascii你会看到右边的列和左边的值,这是一个简单的调用控制字符的方法。 不幸的是,0通常用于空填充攻击有效载荷(假设你已经排除了文件系统问题)。
最重要的是什么是垃圾 – 是一个脚本URL,一个静态资源,一个模块等? 有人正在试图利用你的系统或模糊随机系统寻找利用。
如果发生事故,意味着事情是成功的,至less在造成事故的时候是这样。 至less是一个DoS,而且经常是一个崩溃(特别是当他们试图溢出这样的缓冲区时)可能导致堆栈粉碎并运行漏洞利用代码。 这很糟糕,但不能肯定你是被利用的(就像其他人说的,检查rootkit)。 如果是某种重复模式,则可以使用iptablesstring匹配来防止它进入Apache,但是如果您的apache是最新的,那么您也应该将漏洞报告给Apache安全性。
它看起来像某种利用。 我运行一个rkhunter,并立即chkrootkit扫描。 更新一旦你相对确定你没有受到伤害也是有帮助的。 您可能会看绊网或OSSEC进一步监视当前的情况。
根据你的发行版本,chkrootkit应该在你的版本库里。
虽然我不知道什么是^翻译,如果你看到很多,它闻起来有点像一个nop雪橇。