По сути, у меня дома настроена веб-камера для записи движения, и я настроил базовый сервер Apache, чтобы иметь внешний доступ к указанным сохраненным видео.
Сервер работает на моем ноутбуке, и у меня есть порт для IP-адреса ноутбука на порт 80, затем я настраиваю динамический DNS, чтобы я мог получить доступ к одному и тому же доменному имени независимо от того, изменяется ли мой IP-адрес.
Прошел день, когда я проверил журналы доступа и увидел действительно подозрительную активность: http://pastebin.com/a8xSALaJ извините за длину, я не хотел вырезать ничего тонко важного ...
Моя конфигурация Apache буквально по умолчанию, с корнем документа в / var / www / html
У меня 3 вопроса:
1 - Есть ли что-нибудь вредоносное в журналах / что пытался сделать злоумышленник (в строке 152 есть один очень подозрительный журнал
access.log:1203:74.217.28.153 - - [19/Feb/2016:05:36:48 +0000] "GET http://pastebin.com/raw.php?i=GNsjKYy5 HTTP/1.1" 404 442 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"
2 - Как я могу предотвратить подобные атаки в будущем
3 - Как вообще этот человек нашел мой ip? Я уж точно не афишировал ...
Как вы можете сказать, мои знания в области сетевых технологий довольно базовые, но мне бы очень хотелось узнать больше, поэтому я буду благодарен за любую информацию!
ОБНОВИТЬ
С момента публикации этого сообщения я заметил кое-что особенно касающееся - не уверен, связано ли это, попытался выполнить apache2 --version:
apache2 --version
[Sat Feb 20 18:24:19.273672 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOCK_DIR} is not defined
[Sat Feb 20 18:24:19.273756 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_PID_FILE} is not defined
[Sat Feb 20 18:24:19.273778 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_USER} is not defined
[Sat Feb 20 18:24:19.273796 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_RUN_GROUP} is not defined
[Sat Feb 20 18:24:19.273826 2016] [core:warn] [pid 4942] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276425 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276615 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
[Sat Feb 20 18:24:19.276641 2016] [core:warn] [pid 4942:tid 139799541426048] AH00111: Config variable ${APACHE_LOG_DIR} is not defined
AH00526: Syntax error on line 74 of /etc/apache2/apache2.conf:
Invalid Mutex directory in argument file:${APACHE_LOCK_DIR}
Ответ на ваш первый вопрос заключается в том, что трудно сказать, какой тип «атаки» происходит или что пытается выполнить злоумышленник.
Если вы посмотрите на запись, журнал покажет вам, что что-то просто запрашивает веб-страницу. Если вы перейдете на эту веб-страницу, она содержит текстовую строку formyproxycheckerandyquezhasabigdick
.
Если мы Google запрашиваем URL-адрес, который запрашивает ваш сервер, мы обнаруживаем ряд веб-сайтов, которые сообщают о том, что этот URL-адрес запрашивается.
Похоже, это используется для очистки и фильтрации прокси.
http://pastebin.com/Qhb1eWXU http://urlquery.net/report.php?id=1453470052748
Я бы обратился за помощью в поиске и удалении любых вредоносных программ на этом компьютере.
Теперь что касается вашего второго вопроса, похоже, что эти записи в журнале напрямую связаны с запуском Apache. Если вы хотите запустить Apache, попробуйте использовать команду ниже.
sudo service apache2 start
Переменная конфигурации Apache2 не определена
Вы спросили, как кто-то мог найти ваше оборудование. Честно говоря, если на вашем шлюзовом устройстве есть открытые порты, то, вероятно, кто-то его найдет. Если вы никогда не слышали о Shodan, вам следует погуглить, чтобы понять, что происходит и как это может на вас повлиять.
Никогда не открывайте порты без необходимости, всегда блокируйте сканирование портов и никогда не оставляйте пароли по умолчанию на любом устройстве, которое вы подключаетесь к Интернету.