Назад | Перейти на главную страницу

Logwatch httpd - хаки и зонды

Иногда в своем ежедневном отчете logwatch я замечаю, что есть раздел под httpd для «попыток использования известных хаков ...» и другой раздел о том, сколько сайтов зондировали сервер. У меня есть несколько вопросов по этим разделам:

  1. Apache или logwatch собирает информацию об известных взломах и сообщает о них? Какая программа на самом деле знает, что это известный взлом? Есть ли какое-то место или ориентир, который одна из этих программ использует для составления списка известных атак?
  2. Может ли logwatch сообщать, была ли атака успешной или нет, или мне нужна отдельная программа для ее обнаружения?
  3. Что именно означает, когда logwatch сообщает, что x количество сайтов исследовало сервер? Это сканирование портов? Сканирование уязвимостей? Снятие отпечатков пальцев? Apache сообщает об этом в файлы журналов или logwatch анализирует файлы журналов и выясняет их?
  1. Это журнал, который знает о некоторых известных взломах. Они жестко запрограммированы в logwatch. Проверить файл services/http для строки, которая начинается с my @exploits. Вы увидите, что это всего лишь несколько очень простых обнаруженных закономерностей.
  2. Если веб-сервер не отвечает с сообщением об ошибке, logwatch считает взлом успешным.
  3. Это похоже на сканирование портов - кто-то или какое-то программное обеспечение проверяет, уязвим ли ваш веб-сервер.

Лично я бы не стал уделять этому отчету слишком много внимания.