Назад |
Перейти на главную страницу
Logwatch httpd - хаки и зонды
Иногда в своем ежедневном отчете logwatch я замечаю, что есть раздел под httpd для «попыток использования известных хаков ...» и другой раздел о том, сколько сайтов зондировали сервер. У меня есть несколько вопросов по этим разделам:
- Apache или logwatch собирает информацию об известных взломах и сообщает о них? Какая программа на самом деле знает, что это известный взлом? Есть ли какое-то место или ориентир, который одна из этих программ использует для составления списка известных атак?
- Может ли logwatch сообщать, была ли атака успешной или нет, или мне нужна отдельная программа для ее обнаружения?
- Что именно означает, когда logwatch сообщает, что x количество сайтов исследовало сервер? Это сканирование портов? Сканирование уязвимостей? Снятие отпечатков пальцев? Apache сообщает об этом в файлы журналов или logwatch анализирует файлы журналов и выясняет их?
- Это журнал, который знает о некоторых известных взломах. Они жестко запрограммированы в logwatch. Проверить файл
services/http
для строки, которая начинается с my @exploits
. Вы увидите, что это всего лишь несколько очень простых обнаруженных закономерностей. - Если веб-сервер не отвечает с сообщением об ошибке, logwatch считает взлом успешным.
- Это похоже на сканирование портов - кто-то или какое-то программное обеспечение проверяет, уязвим ли ваш веб-сервер.
Лично я бы не стал уделять этому отчету слишком много внимания.