Я просматривал журнал apache и подумал, что некоторые из журналов доступа кажутся подозрительными ... Я не профессионал, просто занимаюсь администрированием сервера как хобби :) поэтому мне интересно, стоит ли мне предпринять некоторые шаги ...
86.138.17.122 - - [20/May/2012:12:53:14 +0200] "\xcb\xaap\xdc\xf9\xba\xec\x0e\x11\xfa\x1d%\x1f\xe9L$\xff\xa6\xe8-\xd2\x11" 501 309 "-" "-"
218.246.22.178 - - [20/May/2012:14:49:22 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
31.176.134.118 - - [21/May/2012:10:32:31 +0200] "\xbe" 501 288 "-" "-"
92.80.76.244 - - [20/May/2012:13:28:19 +0200] "-" 408 0 "-" "-"
Я не уверен насчет последнего, но первые три определенно выглядят так, как будто кто-то проверяет несуществующее программное обеспечение на моем сервере.
sudo grep -ir "218.246.22.178" / var / log / apache2 / *
/var/log/apache2/access.log:218.246.22.178 - - [20/May/2012:14:49:22 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/access.log.1:218.246.22.178 - - [19/May/2012:23:01:55 +0200] "GET /translators.html HTTP/1.1" 404 533 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/access.log.1:218.246.22.178 - - [20/May/2012:06:30:03 +0200] "GET /phpmyadmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/error.log:[Sun May 20 14:49:22 2012] [error] [client 218.246.22.178] File does not exist: /var/www/phpMyAdmin
/var/log/apache2/error.log.1:[Sat May 19 23:01:55 2012] [error] [client 218.246.22.178] File does not exist: /var/www/translators.html
/var/log/apache2/error.log.1:[Sun May 20 06:30:03 2012] [error] [client 218.246.22.178] File does not exist: /var/www/phpmyadmin
/var/log/apache2/other_vhosts_access.log::443 218.246.22.178 - - [20/May/2012:14:49:19 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 401 3233 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
/var/log/apache2/other_vhosts_access.log.1::443 218.246.22.178 - - [20/May/2012:06:30:02 +0200] "GET /phpmyadmin/translators.html HTTP/1.1" 401 3232 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
Это довольно распространенное поведение с любым веб-сервером, подключенным к Интернету. Хакеры ищут уязвимости и открытые прокси. Проверять, выписываться fail2ban заблокировать их и журнал следить за чем-нибудь необычным.
это сканеры уязвимостей в поисках устаревшего / используемого программного обеспечения, скорее всего, сканирующие большой диапазон адресов. если вы держите свой стек в актуальном состоянии - вероятно, вам не о чем беспокоиться.
вы можете попробовать просканировать свой сайт, например, используя nikto2 просто чтобы увидеть, какие запросы отправляются, и, возможно, узнать, как лучше защитить вашу настройку.
это спорно, если это просто безопасность сквозной неясности или хорошая практика, но вы также можете настроить виртуальный хост по умолчанию [большинство сканирования будет вызывать ваш сервер по IP-адресу, а не имя домена] не обслуживать любое содержимое и реагировать только с ошибками или статическими страницами.
Это боты-сканеры уязвимостей, которыми часто управляют исследовательские организации и даже злоумышленники. Если это сканирование не вернет код ответа HTTP 200, вам не стоит об этом беспокоиться.
Некоторые популярные сканирования оставляют на вашем сервере следующие следы
/w00tw00t.at.ISC.SANS.test0:): 1 Time(s)
Всегда рекомендуется использовать брандмауэр на любом сервере с выходом в Интернет. Вы можете настроить iptables вручную или даже установить csf (ConfigServer Firewall), который является бесплатным межсетевым экраном с открытым исходным кодом и может защитить вас от различных распространенных атак.