有时在我的日志报告中,我注意到在httpd下面有一个“尝试使用已知黑客行为”的部分,另外一个部分是关于多less个站点探测服务器的。 我有几个关于这些部分的问题:
- apache或logwatch是一个捡到并报告已知黑客的人吗? 哪个程序实际上知道这是一个已知的黑客? 是否有某个位置或参考点是其中一个程序正在使用的已知攻击列表?
- 日志能够报告攻击是否成功,或者我需要一个单独的软件来拾取这个?
- 当logwatch报告x个站点探测到服务器时,究竟意味着什么? 它是一个端口扫描吗? 漏洞扫描? 指纹? apache是向日志文件报告这个问题还是logging日志分析日志文件并计算出来?
- 知道一些知名的hack的是logwatch。 这些是硬编码到logging。 检查以
my @exploits开头的行的文件services/http 。 你会看到这些只是一些非常简单的模式被检测到。
- 如果networking服务器没有响应错误状态,则logwatch认为hack成功。
- 这与portscan类似 – 有人或某个软件会检查您的Web服务器是否存在漏洞。
就个人而言,我不会太在意这个报道。