我很确定我的服务器已被黑客入侵。 我在访问日志中看到这些条目是在一系列500条错误消息之前的最后两条,它与数据库有关,但是我还没有发现确切的错误。 我仍然试图找出它的含义 – 谁能帮我一个忙:
208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-" 更新
行 – 进一步调查 – 出于某种原因,MySQL服务被closures。 我重新启动它,一切看起来很正常。 没有数据丢失,但我真的不舒服那些怪异的条目 – 我怎么能检查是否有人在我的系统内?
在我的MYSQl日志中,我看到了这些行 – 这是怎么发生的?
Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution 110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown 110616 17:34:20 InnoDB: Starting shutdown... 110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508 110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete 110616 17:34:21 mysqld ended
DFind扫描就是这样一个扫描,并不表示违反; 如果你正在观看,你会一直看到它。 看到这里 。
这是一个优雅的MySQL关机,这可能需要进一步调查,但不是非常可疑的自己。
访问日志中的这两个条目无需担心。
第一个是非常好的(208.90.56.152的人问你的网站的根,并得到它),第二个看起来像69.162.74.102的人试图访问一个名为w00tw00t.at.ISC.SANS.DFind:)的文件w00tw00t.at.ISC.SANS.DFind:)在你的网站…当然没有find它。
人们(或机器人)可能会向您的Web服务器询问最奇怪的事情; 这没关系,重要的是他们没有find他们:-)
您的原始访问日志中的“GET /w00tw00t.at.ISC.SANS.DFind 🙂 HTTP / 1.1”logging表明有人正在运行具有此指纹的漏洞扫描程序。
本身并不意味着你被黑客入侵。 这只意味着有人一直在试图破解你的网站。 该条目应该始终在您的网站上导致“400”错误,表明尝试失败。
这个条目应该给你发一条消息。 保持您的代码清洁! 大多数网站几乎每天都以某种方式遭到攻击。 最好的防御措施是学习如何保护文件,目录和脚本免受黑客的攻击。 确保你有正确的文件和目录权限设置。 更重要的是,只能使用在Internet上具有良好安全声誉的安全脚本,并且确保每个月至less一次检查脚本的父站点以获取更新和错误修复。
阅读更多: 处理HTTP w00tw00t攻击 , 阻止w00tw00t扫描 。
正如其他人所说,这只是一个扫描仪。 在几十个networking服务器上,我已经看到了大约15个变种。 大概在过去的一年里有几十万次的点击。 如果它错误,只需添加一个Apache指令来拒绝任何用户代理string的客户端连接。 我跟踪这个东西,所以我让它击中。
如果您的主机上有phpmyadmin,请从脚本目录中删除setup.php文件。