Назад | Перейти на главную страницу

Журналы доступа Apache2 подозрительны, что это за атака

По сути, у меня дома настроена веб-камера для записи движения, и я настроил базовый сервер Apache, чтобы иметь внешний доступ к указанным сохраненным видео.

Сервер работает на моем ноутбуке, и у меня есть порт для IP-адреса ноутбука на порт 80, затем я настраиваю динамический DNS, чтобы я мог получить доступ к одному и тому же доменному имени независимо от того, изменяется ли мой IP-адрес.

Прошел день, когда я проверил журналы доступа и увидел действительно подозрительную активность: http://pastebin.com/a8xSALaJ извините за длину, я не хотел вырезать ничего тонко важного ...

Моя конфигурация Apache буквально по умолчанию, с корнем документа в / var / www / html

У меня 3 вопроса:

1 - Есть ли что-нибудь вредоносное в журналах / что пытался сделать злоумышленник (в строке 152 есть один очень подозрительный журнал

access.log:1203:74.217.28.153 - - [19/Feb/2016:05:36:48 +0000] "GET http://pastebin.com/raw.php?i=GNsjKYy5 HTTP/1.1" 404 442 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"

2 - Как я могу предотвратить подобные атаки в будущем

3 - Как вообще этот человек нашел мой ip? Я уж точно не афишировал ...

Как вы можете сказать, мои знания в области сетевых технологий довольно базовые, но мне бы очень хотелось узнать больше, поэтому я буду благодарен за любую информацию!

ОБНОВИТЬ

С момента публикации этого сообщения я заметил кое-что особенно касающееся - не уверен, связано ли это, попытался выполнить apache2 --version:

apache2 --version
[Sat Feb 20 18:24:19.273672 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOCK_DIR} is not defined
[Sat Feb 20 18:24:19.273756 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_PID_FILE} is not defined
[Sat Feb 20 18:24:19.273778 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_USER} is not defined
[Sat Feb 20 18:24:19.273796 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_GROUP} is not defined
[Sat Feb 20 18:24:19.273826 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276425 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276615 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276641 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
AH00526: Syntax error on line 74 of /etc/apache2/apache2.conf:
Invalid Mutex directory in argument file:${APACHE_LOCK_DIR}

Ответ на ваш первый вопрос заключается в том, что трудно сказать, какой тип «атаки» происходит или что пытается выполнить злоумышленник.

Если вы посмотрите на запись, журнал покажет вам, что что-то просто запрашивает веб-страницу. Если вы перейдете на эту веб-страницу, она содержит текстовую строку formyproxycheckerandyquezhasabigdick.

Если мы Google запрашиваем URL-адрес, который запрашивает ваш сервер, мы обнаруживаем ряд веб-сайтов, которые сообщают о том, что этот URL-адрес запрашивается.

Похоже, это используется для очистки и фильтрации прокси.

http://pastebin.com/Qhb1eWXU http://urlquery.net/report.php?id=1453470052748

Я бы обратился за помощью в поиске и удалении любых вредоносных программ на этом компьютере.

Теперь что касается вашего второго вопроса, похоже, что эти записи в журнале напрямую связаны с запуском Apache. Если вы хотите запустить Apache, попробуйте использовать команду ниже.

sudo service apache2 start

Переменная конфигурации Apache2 не определена

Вы спросили, как кто-то мог найти ваше оборудование. Честно говоря, если на вашем шлюзовом устройстве есть открытые порты, то, вероятно, кто-то его найдет. Если вы никогда не слышали о Shodan, вам следует погуглить, чтобы понять, что происходит и как это может на вас повлиять.

Никогда не открывайте порты без необходимости, всегда блокируйте сканирование портов и никогда не оставляйте пароли по умолчанию на любом устройстве, которое вы подключаетесь к Интернету.