aL3*_*3xa 5 hacking log-files binary apache-2.2
我正在构建某种 webapp,目前整个事情都在我的机器上运行。我正在整理我的日志,发现了几个让我有点偏执的“奇怪”日志条目。开始:
***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054
该死的……这是什么?!
除非您注意到来自服务器的奇怪的新文件、更改的系统文件或其他奇怪的行为,否则我不会太担心这些奇怪的日志条目。如果您的服务器对 Internet 开放,任何人都可以向您的服务器发送格式错误的 HTTP 请求,而且很多人(或机器人)就是这样做的。
他们为什么要那样做?好吧,一些 Web 服务器具有已知的漏洞,可以通过向它们发送“正确”类型的请求来利用这些漏洞。因此,您可能看到的是对已知(甚至未知)漏洞的探测。如果它让您感觉更安全,您可以采取追溯措施,例如阻止/禁止发送格式错误或未知请求的 IP(使用 iptables、fail2ban 等)。
就我个人而言,我认为将“坏”IP 列入黑名单并不真正值得,因为当您在日志文件中看到它们的踪迹时,他们要么已经知道您不容易受到攻击,要么您已经被黑了。我相信更好的方法是主动安全:
保持您的服务器软件完全修补并保持最新状态。总是。讲究。宗教上。
使您的攻击配置文件尽可能小:不要在服务器上安装/运行任何不必要的软件。而且,正如奥卡姆的威廉曾经说过的那样,“不要不必要地增加用户帐户。”
防火墙你的服务器。(或者不要,但知道你在做什么。)
运行入侵检测系统,如AIDE、OSSEC或samhain。这会在系统文件意外更改时提醒您,通常是您的服务器已被入侵的提示。
运行系统监控/绘图软件,如munin、cacti、collectd等。定期观看图表以了解正常系统负载的情况,以及您的常规趋势。然后,当你的图表显示出你以前从未见过的东西时,你就有了进一步调查的动力。
运行网络日志分析器/绘图器,如webalizer或awstats。同样,熟悉正常操作的样子,以便您可以快速识别出不正常的情况。
运行一个单独的日志服务器——最好是在一个不运行其他任何东西的最小的、安全加固的系统上——并配置你的服务器以将它们的日志发送到它。这使得入侵者更难以掩盖他的踪迹。
| 归档时间: |
|
| 查看次数: |
2004 次 |
| 最近记录: |