3

我在我的 Apache Web 服务器中发现了以下请求。这些是黑客尝试吗?它们会对服务器有害吗?

我的服务器经常崩溃,我没有原因:

GET /muieblackcat HTTP/1.1" 302 214
GET //index.php HTTP/1.1" 302 214
GET //admin/index.php HTTP/1.1" 302 214
GET //admin/pma/index.php HTTP/1.1" 302 214
GET //admin/phpmyadmin/index.php HTTP/1.1" 302 214

/user/soapCaller.bs HTTP/1.1" 302 214

GET /robots.txt HTTP/1.0" 302 214.

我们看到很多对不存在的 setup.php 文件的请求:

GET /phpmyadmin/scripts/setup.php HTTP/1.1" 302 214
GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /MyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /myadmin/scripts/setup.php HTTP/1.1" 302 214
GET //typo3/phpmyadmin/index.php HTTP/1.1" 302 214
GET /pma/scripts/setup.php HTTP/1.1" 302 214
GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 302 214

在服务器上也可以访问以下请求。这是什么要求?

95.211.124.232 - - [16/Aug/2012:18:14:52 +0800] "CONNECT yandex.ru:80 HTTP/1.1" 302 214

应该如何理解这个服务器崩溃问题?

4

3 回答 3

4

是的,这可能是试图破解您的服务器。黑客调用具有已知弱点的 URL。但是,只要您的服务器上不存在这些文件,您就是安全的。

如果您确实有一个已知弱点的文件,您应该担心。

一种临时解决方案是阻止发出这些调用的 IP 地址。您还应该检查来自该特定 IP 地址的任何调用是否确实找到了现有页面。

唯一永久的解决方案是升级所有软件,这样您就不会受到已知安全漏洞的影响。

这些 HTTP 调用无法解释您的服务器崩溃的原因。

PS:/robot.txt 不是黑客攻击。这是一个文件,Google 等搜索引擎会查找该文件以获取有关如何为您的网站编制索引的说明。这完全没问题。

于 2012-09-17T07:47:32.753 回答
0

我想问一下您是否正在使用PHP。大多数网络空间确实支持很多功能。如果您不使用 PHP、CGI、SSI等,您可以将它们关闭。

观看您的消息也可能是一个想法(Linux?- tail -f /var/log/messages)。在那里你可以看到实时动作。

另一个想法是将众所周知的 SSH 和除 HTTP 之外的其他守护进程的端口移动到 1024 以上的奇怪端口 - 或者如果您有自己的公共 IP 地址从那里访问 Internet,您可以将防火墙设置为仅接受这些端口上的连接来自您自己的 IP 地址的端口。

于 2013-03-19T07:27:54.740 回答
0

如果您正在运行 Apache/WHM,一个好的解决方案是安装 Mod_security 和 CSFirewall。如果恶意活动经常触发相同的安全规则,Mod_Sec 将监视恶意活动并将 IP 地址踢到防火墙。

另一种非常极端的解决方案是根据国家代码阻止防火墙中的所有 IP 流量。例如,如果您发现大多数攻击来自乌克兰,并且 99% 的用户群来自美国,那么请阻止整个违规国家。正如我所说……这是极端的。

另请注意,运行 mod_sec 和 csf 会​​降低服务器速度,因为它必须检查防火墙数据库中的所有传入流量。

于 2015-01-06T21:06:16.310 回答