Apache Web服務器日誌文件中的特定請求

Question

我在我的apache web服務器中發現了Folowing請求。這些是黑客企圖？會對服務器造成影響嗎？

我的服務器經常崩潰，不有它的原因，

GET /muieblackcat HTTP/1.1" 302 214 
GET //index.php HTTP/1.1" 302 214 
GET //admin/index.php HTTP/1.1" 302 214 
GET //admin/pma/index.php HTTP/1.1" 302 214 
GET //admin/phpmyadmin/index.php HTTP/1.1" 302 214 

/user/soapCaller.bs HTTP/1.1" 302 214

GET /robots.txt HTTP/1.0" 302 214. 

我們看到很多不存在setup.php文件的請求

GET /phpmyadmin/scripts/setup.php HTTP/1.1" 302 214 
GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 302 214 
GET /MyAdmin/scripts/setup.php HTTP/1.1" 302 214 
GET /myadmin/scripts/setup.php HTTP/1.1" 302 214 
GET //typo3/phpmyadmin/index.php HTTP/1.1" 302 214 
GET /pma/scripts/setup.php HTTP/1.1" 302 214 
GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 302 214 

以下請求也在服務器中訪問。這是什麼請求。 95.211.124.232 - - [16/Aug/2012:18:14:52 +0800] "CONNECT yandex.ru:80 HTTP/1.1" 302 214

有人請幫助理解服務器崩潰問題。

Answer 1

是的，這可能是試圖破解你的服務器。黑客打電話給url的已知弱點。但是，只要這些文件不存在於服務器上，就是安全的。

你應該關心的是如果你真的有一個已知弱點的文件。

一個臨時解決方案是阻止這些調用的IP地址。您還應該檢查來自該特定IP地址的任何呼叫是否實際找到了現有頁面。

唯一的永久性解決方案是升級所有軟件，以便您不會受到已知安全漏洞的攻擊。

這些http調用無法解釋您的服務器崩潰的原因。

PS：/robot.txt不是黑客企圖。這是像谷歌這樣的搜索引擎尋找的文件，以獲得有關如何索引您的網站的說明。那很好。

Answer 2

我想問一下，如果你使用的是PHP，大多數網站都支持很多功能，如果你不使用php，cgi，ssi等，你可以關閉它。看到你的消息（linux？tail -f/var/log/messages），你也可以看到實時動作。另一個想法是將衆所周知的ssh和除http以外的其他deamons端口移動到1024以上的奇怪端口上 - 或者如果你有一個自己的公用ip，你可以將你的防火牆設置爲只接受這些端口上的連接從你自己的IP。

Answer 3

如果你正在運行Apache/WHM，一個好的解決方案是安裝Mod_security和CSFirewall。如果Mod_Sec經常觸發相同的安全規則，它將監視惡意活動並將其發送到防火牆。

另一個相當極端的解決方案是根據國家代碼阻止防火牆中的所有IP流量。例如，如果你注意到你的攻擊大部分來自烏克蘭，而且你的用戶羣中有99％不在美國，那麼就會阻止整個違規國家。正如我所說的......它的極端。

另請注意，運行mod_sec和csf可能會降低服務器速度，因爲它必須檢查防火牆數據庫中的所有傳入通信量。