我有这样的httpd日志信息永远持续下去。 首先,这是否意味着我有病毒? 是我的服务器僵尸networking的一部分? 我的服务器是Linux Centos 5。
tail -f /var/log/httpd/access_log
另外我怎样才能阻止这种攻击?
我怎样才能确保我的服务器没有发出请求?
我可以添加哪些其他安全措施?
69.164.209.127 - - [14/Jun/2012:18:49:05 +0800] "GET http://69.164.209.127/82d8e94797c2079b53bb3d36157a699f HTTP/1.1" 404 309 "-" "Avant Browser - MSIE 7 (Win XP)|Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Avant Browser; Avant Browser; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" 176.227.198.140 - - [14/Jun/2012:18:49:05 +0800] "GET http://www.google.com/search?as_q=monochrom+inurl:%3Fp%3D%2A%26option%3Dcom%5Fwordpress%26Itemid%3D%2A&num=100&hl=en&output=ie&filter=0 HTTP/1.0" 404 283 "http://www.google.com/search?as_q=monochrom+inurl:%3Fp%3D%2A%26option%3Dcom%5Fwordpress%26Itemid%3D%2A&num=100&hl=en&output=ie&filter=0" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)" 173.236.110.243 - - [14/Jun/2012:18:49:06 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-" 95.250.43.84 - - [14/Jun/2012:18:49:06 +0800] "POST http://www.alldebrid.com/api.php?action=info_user&login=zcnhaa&pw=123456789 HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)" 176.227.198.140 - - [14/Jun/2012:18:49:06 +0800] "GET http://www.google.com/search?as_q=monopsonic+%22Write+a+Comment%22+Website&num=100&hl=en&output=ie&filter=0 HTTP/1.0" 404 283 "http://www.google.com/search?as_q=monopsonic+%22Write+a+Comment%22+Website&num=100&hl=en&output=ie&filter=0" "Mozilla/4.79 [en] (Windows NT 5.0; U)" 173.236.110.243 - - [14/Jun/2012:18:49:06 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-" 46.4.25.139 - - [14/Jun/2012:18:49:07 +0800] "GET http://www.ebay.it/itm/-/280882450672 HTTP/1.0" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; InfoPath.2; .NET CLR 3.5.21022; .NET CLR 3.5.30729; MS-RTC LM 8; OfficeLiveConnector.1.4; OfficeLivePatch.1.3; .NET CLR 3.0.30729)" 173.236.110.243 - - [14/Jun/2012:18:49:07 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-" 216.58.17.248 - - [14/Jun/2012:18:49:07 +0800] "GET http://images.google.com/ HTTP/1.1" 200 9452 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; .NET CLR 1.1.4322; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)" 173.236.110.244 - - [14/Jun/2012:18:49:07 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-" 173.236.110.244 - - [14/Jun/2012:18:49:07 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-" 173.236.110.244 - - [14/Jun/2012:18:49:09 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-" 173.236.110.244 - - [14/Jun/2012:18:49:09 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
我有这样的httpd日志信息永远持续下去。 首先,这是否意味着我有病毒? 是我的服务器僵尸networking的一部分?
它没有出现你有病毒,也不可能你是僵尸networking的一部分。 这两种情况都不希望通过logging他们的活动来宣布他们的存在。
另外我怎样才能阻止这种攻击?
这不是一个攻击。 您似乎正在运行一个开放的代理服务器。 如果您不需要运行代理服务器,请在您的Apacheconfiguration中禁用代理访问。
我怎样才能确保我的服务器没有发出请求?
您的服务器正在发送请求。 通过将ACL添加到Apacheconfiguration中的代理请求来阻止代理访问。 像这样的东西应该允许来自本地主机和专用networking块的代理访问。 根据您的需要调整最后的允许线。
<Proxy *> Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 Allow from 192.168.2.0/24 </Proxy>
我可以添加哪些其他安全措施?
如果您不需要为Internet主机提供Web服务,请将类似于上面的ACL添加到您的Apache服务器。 考虑阻止与iptables传入的Web请求以及。
如果您确实需要代理,请考虑使用具有适当访问控制的专用代理(如squid 。 您也可以在不同的端口上创build一个单独的虚拟主机以用于代理目的。 这应该有适当的访问控制。