9

LogWatch是一个不错的工具,可以提供有关 linux 日志文件的每日报告。它包括几个信息摘要,如流量、登录的用户、使用 sudo 的用户、相关的内核消息、探测服务器的 IP、探测你的 apache 的搜索引擎等......

其中一部分包括使用已知漏洞尝试入侵您的服务器的 IP 地址。他们不一定成功,但无论如何他们都列在报告中以获取知识。这就是它的样子。

Attempts to use known hacks by 4 hosts were logged 4 time(s) from:
   187.13.156.179: 1 Time(s)
      ^null$ 1 Time(s) 
   187.60.121.62: 1 Time(s)
      ^null$ 1 Time(s) 
   189.123.240.18: 1 Time(s)
      ^null$ 1 Time(s) 
   189.70.214.124: 1 Time(s)
      ^null$ 1 Time(s)

我的问题是这种^null$攻击到底是什么?我试过用谷歌搜索这个,但似乎没有任何相关的东西出现。

4

3 回答 3

5

这通常不用担心 - 它不一定是实际攻击。“^null$攻击”只是一个客户端连接终止而不发送任何 HTTP 请求(即与您的 Web 服务器建立连接,但没有收到请求)。

如果您从一个 IP 在您的服务器上进行了多次尝试,或者^null$每个 IP 有多个条目,那么您可能有协同尝试的证据。事实上,我建议您可以放心地忽略上面给出的示例日志。

于 2013-05-17T07:38:55.277 回答
5

有趣的是,Heartbleed探测转化为来自 LogWatch 的此类警告:

Attempts to use known hacks by 1 hosts were logged 1 time(s) from: 54.82.203.167: 1 Time(s) ^null$ 1 Time(s)

相应的 Apache SSL 日志条目是:

XXXXXX:443 54.82.203.167 - - [10/Apr/2014:00:19:45 +0200] "quit" 301 1313 "-" "-"

(使用http://filippo.io/Heartbleed/

于 2014-04-11T00:41:15.190 回答
1

几种类型的监控服务也会使这种情况发生;例如 uptimerobot.com:

10 台主机使用已知黑客的尝试记录了 107 次,来自:74.86.158.106:91 次 ^null$ 91 次

74.86.158.106 - - [09/Feb/2015:01:09:54 -0500] “GET / HTTP/1.1” 200 17896 “-” “Mozilla/5.0+(兼容;UptimeRobot/2.​​0;http://www. uptimerobot.com/ )"

74.86.158.106 - - [09/Feb/2015:01:10:47 -0500] “HEAD / HTTP/1.1” 200 - “-” “Mozilla/5.0+(兼容;UptimeRobot/2.​​0;http://www. uptimerobot.com/ )"

某些类型的故障转移应用程序也可能会触发它,例如 heartbeat 和 ldirectord(取决于它们的配置)。

于 2015-02-09T20:28:09.837 回答