我在Apache Web服务器中发现以下请求。这些是黑客尝试吗?它们会对服务器有害吗?
我的服务器经常崩溃,我没有原因:
GET /muieblackcat HTTP/1.1" 302 214
GET //index.php HTTP/1.1" 302 214
GET //admin/index.php HTTP/1.1" 302 214
GET //admin/pma/index.php HTTP/1.1" 302 214
GET //admin/phpmyadmin/index.php HTTP/1.1" 302 214
/ user / soapCaller.bs HTTP / 1.1“ 302214
GET /robots.txt HTTP/1.0" 302 214.
我们看到了很多不存在的setup.php文件的请求:
GET /phpmyadmin/scripts/setup.php HTTP/1.1" 302 214
GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /MyAdmin/scripts/setup.php HTTP/1.1" 302 214
GET /myadmin/scripts/setup.php HTTP/1.1" 302 214
GET //typo3/phpmyadmin/index.php HTTP/1.1" 302 214
GET /pma/scripts/setup.php HTTP/1.1" 302 214
GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 302 214
以下请求也可以在服务器上访问。这是什么要求?
95.211.124.232 - - [16/Aug/2012:18:14:52 +0800] "CONNECT yandex.ru:80 HTTP/1.1" 302 214
如何理解此服务器崩溃问题?
是,这可能是试图入侵您的服务器。黑客使用已知漏洞调用URL。但是,只要您的服务器上不存在这些文件,就可以保证安全。
如果您确实有一个已知漏洞的文件,您应该担心。
一种临时解决方案是阻止进行这些调用的IP地址。您还应该检查来自该特定IP地址的任何呼叫是否实际上找到了现有页面。
唯一的永久解决方案是升级所有软件,以使您不容易受到已知的安全漏洞的攻击。
这些HTTP调用无法解释服务器崩溃的原因。
PS:/robot.txt不是黑客尝试。该文件供Google等搜索引擎查找,以获取有关如何为您的网站编制索引的说明。完全可以。
我想问一问您是否正在使用PHP。大多数网站空间确实支持许多功能。如果您不使用PHP,CGI,SSI等,则可以将其关闭。
另外,观看消息也可能是个主意(Linux?-tail -f /var/log/messages
)。在那里,您可以看到实时操作。
[另一个想法是将SSH和HTTP以外的其他恶作剧的知名端口移至1024以上的上层怪异端口;或者,如果您具有自己的公用IP地址,则可以从其中将Internet设置为仅接受连接通过您自己的IP地址在这些端口上访问。
如果您运行的是Apache / WHM,一个很好的解决方案是安装Mod_security和CSFirewall。如果它们经常触发相同的安全规则,则Mod_Sec将监视恶意活动并将IP地址踢入防火墙。
另一种非常极端的解决方案是根据国家/地区代码阻止防火墙中的所有IP通信。例如,如果您发现大多数攻击来自乌克兰,而您的用户群中有99%来自美国,那么请阻止整个犯罪国家。正如我所说的,这是极端的。
还要注意,运行mod_sec和csf可能会减慢服务器的速度,因为它必须检查防火墙数据库中所有传入的流量。