Я совершенно уверен, что мой сервер взломали. Я вижу эти записи в моем журнале доступа как последние две перед серией из 500 сообщений об ошибках. Это связано с БД, но я еще не обнаружил точную ошибку. Я все еще пытаюсь понять, что это значит - может ли кто-нибудь мне помочь:
208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"
Обновить
ОК - в процессе дальнейшего расследования - по какой-то причине служба mysql была отключена. Я перезапустил его, и все ВЫГЛЯДИТ нормально. Никаких данных не пропало, но я действительно плохо себя чувствую из-за этих странных записей - как я могу проверить, был ли кто-то в моей системе?
В моем журнале MYSQl я вижу эти строки - как это соотносится с тем, что произошло?
Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution
110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown
110616 17:34:20 InnoDB: Starting shutdown...
110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508
110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete
110616 17:34:21 mysqld ended
Сканирование DFind - это всего лишь сканирование, и оно не указывает на нарушение; вы будете видеть это все время, если будете смотреть. Видеть Вот.
Это изящное завершение работы MySQL, которое может потребовать дальнейшего расследования, но само по себе не вызывает особых подозрений.
Эти две записи в журнале доступа не о чем беспокоиться.
С первым все в порядке (кто-то по адресу 208.90.56.152 запросил корень вашего сайта и получил его), а второй выглядит так, будто кто-то по адресу 69.162.74.102 пытался получить доступ к файлу с именем w00tw00t.at.ISC.SANS.DFind:) на вашем сайте ... и конечно не нашел.
Люди (или боты) могут спрашивать ваш веб-сервер самые странные вещи; это не важно, важно то, что они их не находят :-)
Запись GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1 в ваших журналах Raw Access указывает, что кто-то запускает сканер уязвимостей, имеющий этот отпечаток.
Сама по себе эта запись не означает, что вас взломали. Это означает лишь то, что кто-то сканировал ваш сервер на предмет потенциальных уязвимостей с помощью веб-сканера уязвимостей. За этими записями могут следовать другие записи грубой силы (фактические попытки взлома).
Эта запись должна отправить вам сообщение. Держите свой код в чистоте! Большинство веб-сайтов тем или иным образом подвергаются атакам почти каждый день. Лучшая защита - узнать, что вы можете сделать, чтобы защитить свои файлы, каталоги и сценарии от хакеров. Убедитесь, что у вас правильно установлены права доступа к файлам и каталогам. Что еще более важно, используйте только безопасные сценарии, которые имеют хорошую репутацию в области безопасности в Интернете, и убедитесь, что вы всегда проверяете родительские сайты на наличие своих сценариев не реже одного раза в месяц на предмет обновлений и исправлений ошибок.
Связанный:
Как уже упоминали другие, это просто сканер. На нескольких десятках веб-серверов я видел около 15 вариантов w00t; вероятно, несколько сотен тысяч обращений за последний год. Если вас это беспокоит, просто добавьте директиву Apache, чтобы запретить подключение к любому клиенту с w00t Строка UserAgent. Я отслеживаю эти вещи, поэтому позволяю им ударить.