Apache Web 服务器日志文件中的可疑请求

Posted 2023-02-25

【中文标题】Apache Web 服务器日志文件中的可疑请求

【英文标题】：Suspicious requests in Apache web server log file

【发布时间】：2012-09-09 09:14:53

【问题描述】：

我在我的 Apache Web 服务器中发现了以下请求。这些是黑客尝试吗？它们会对服务器有害吗？

我的服务器经常崩溃，我没有原因：

GET /muieblackcat HTTP/1.1" 302 214
GET //index.php HTTP/1.1" 302 214
GET //admin/index.php HTTP/1.1" 302 214
GET //admin/pma/index.php HTTP/1.1" 302 214
GET //admin/phpmyadmin/index.php HTTP/1.1" 302 214

/user/soapCaller.bs HTTP/1.1" 302 214

GET /robots.txt HTTP/1.0" 302 214.

我们看到很多对不存在的 setup.php 文件的请求：

GET /phpmyadmin/scripts/setup.php HTTP/1.1" 302 214
GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /MyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /myadmin/scripts/setup.php HTTP/1.1" 302 214
GET //typo3/phpmyadmin/index.php HTTP/1.1" 302 214
GET /pma/scripts/setup.php HTTP/1.1" 302 214
GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 302 214

下面的请求也在服务器上被访问。这是什么要求？

95.211.124.232 - - [16/Aug/2012:18:14:52 +0800] "CONNECT yandex.ru:80 HTTP/1.1" 302 214

应该如何理解这个服务器崩溃问题？

【参考方案1】：

是的，这可能是企图入侵您的服务器。黑客调用具有已知弱点的 URL。但是，只要您的服务器上不存在这些文件，您就安全了。

如果您确实有一个已知漏洞的文件，您应该担心。

一种临时解决方案是阻止发出这些调用的 IP 地址。您还应该检查来自该特定 IP 地址的任何调用是否确实找到了现有页面。

唯一永久的解决方案是升级您的所有软件，这样您就不会受到已知安全漏洞的攻击。

这些 HTTP 调用无法解释您的服务器崩溃的原因。

PS：/robot.txt 不是黑客攻击。这是一个文件，Google 等搜索引擎会查找该文件以获取有关如何为您的网站编制索引的说明。没关系。

【讨论】：

以下请求也在服务器中访问。这是什么要求。我对此一无所知。 95.211.124.232 - - [16/Aug/2012:18:14:52 +0800] “连接 yandex.ru:80 HTTP/1.1”302 214

【参考方案2】：

我想问一下您是否使用 PHP。大多数网络空间确实支持很多功能。如果你不使用 PHP、CGI、SSI 等，你可以关闭它们。

另外，观看您的消息可能是一个想法（Linux？-tail -f /var/log/messages）。在那里你可以看到实时动作。

另一个想法是将众所周知的 SSH 和除 HTTP 之外的其他守护进程的端口移动到 1024 以上的奇怪端口 - 或者如果您有自己的公共 IP 地址，您可以从该地址访问 Internet，您可以将防火墙设置为仅接受来自您自己的 IP 地址的这些端口上的连接。

【参考方案3】：

如果您正在运行 Apache/WHM，一个好的解决方案是安装 Mod_security 和 CSFirewall。如果恶意活动经常触发相同的安全规则，Mod_Sec 将监视恶意活动并将 IP 地址踢到防火墙。

另一种非常极端的解决方案是根据国家/地区代码阻止防火墙中的所有 IP 流量。例如，如果您发现大多数攻击来自乌克兰，并且 99% 的用户群来自美国，那么请阻止整个违规国家。正如我所说的......这太极端了。

另请注意，运行 mod_sec 和 csf 会​​降低服务器速度，因为它必须检查防火墙数据库中的所有传入流量。