前段时间我已经安装了Apache,快速浏览一下我的access.log,发现各种未知的IP地址都是连接的,主要是状态码403,404,400,408。我不知道他们是怎么find的我的知识产权,因为我只使用它的个人使用,并添加了一个robots.txt希望它会保持search引擎。 我阻止索引,没有什么真正重要的。
这些机器人(或人)如何find服务器? 这是常见的事情发生吗? 这些连接是危险的吗?我能做些什么?
另外,许多IP来自各种国家,不parsing主机名。
以下是一些例子:
在一个大扫描,这个机器人试图findphpmyadmin:
"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu" "GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu" "GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu" "GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu" 我得到了很多这些:
"HEAD / HTTP/1.0" 403 - "-" "-"
大量的“proxyheader.php”,我得到了很多GET请求http://链接
"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
“CONNECT”
"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"
“soapCaller.bs”
"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"
这真是粗略的六angular废话..
"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"
空
"-" 408 - "-" "-"
这只是它的要点。 即使使用win95用户代理,我也会得到各种各样的垃圾。
谢谢。
欢迎来到互联网:)
这些只是人们试图find服务器的漏洞。 几乎可以肯定的是通过组装机器来完成。
这将只是人们扫描某些IP范围 – 你可以从phpMyAdmin看到,它正在试图find一个安全的预安装版本的PMA。 一旦被发现,它可以得到令人惊讶的访问系统。
确保您的系统保持最新,并且您没有任何不需要的服务。
这些机器人扫描已知的安全漏洞。 他们只是扫描整个networking范围,因此会发现像你这样的未经改造的服务器。 他们打得不好,不关心你的robots.txt。 如果他们发现漏洞,他们会logging下来(您可能会很快就会发现手动攻击),或者会使用rootkit或类似的恶意软件自动感染您的计算机。 关于这一点你可以做的很less,这只是在互联网上的正常业务。 这就是为什么始终为您的软件安装最新的安全修复程序非常重要的原因。
正如其他人所指出的,他们可能正在进行powershell扫描。 如果您使用的是dynamicIP地址,则可能更有可能扫描您的地址。 (以下build议假定Linux / UNIX,但大多数可能适用于Windows服务器。)
阻止他们的最简单的方法是:
为了限制他们对系统的损害,确保apache进程只能写入应该可以更改的目录和文件。 在大多数情况下,服务器只需要读取它所服务的内容。
互联网是公共空间,因此这个词是公共ip。 除了通过设置某种方式来拒绝公众(防火墙上的vpn,acl,directaccess等),您无法隐藏。 这些连接是危险的,因为最终有人会比你在打补丁时更快地利用你。 在回应之前,我会考虑进行某种authentication。