Jak*_*kob 9 hacking centos apache-2.2
我很确定我的服务器被黑了。我在访问日志中看到这些条目是一系列 500 条错误消息之前的最后两个条目,它与数据库有关,但我还没有找到确切的错误。我仍在试图弄清楚这意味着什么 - 任何人都可以帮助我:
208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"
更新
好的 - 进一步调查 - 由于某种原因,mysql 服务被关闭。我重新启动它,一切看起来都很正常。没有数据丢失,但我真的对那些奇怪的条目感到不舒服 - 我如何检查是否有人进入了我的系统?
在我的 MYSQl 日志中,我看到这些行 - 这如何反映发生的事情?
Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution
110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown
110616 17:34:20 InnoDB: Starting shutdown...
110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508
110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete
110616 17:34:21 mysqld ended
Sha*_*den 17
DFind 扫描只是一个扫描,并不表示存在漏洞;如果你正在观看,你会一直看到它。见这里。
这是一个优雅的 MySQL 关闭,可能需要进一步调查,但它本身并不是非常可疑。
访问日志中的这两个条目无需担心。
第一个完全没问题(208.90.56.152 上的某个人询问了您的网站根目录并得到了它),而第二个看起来像是 69.162.74.102 上的某个人试图访问w00tw00t.at.ISC.SANS.DFind:)您网站上调用的文件......当然没有'没找到。
人们(或机器人)可能会向您的 Web 服务器询问最奇怪的事情;这没关系,重要的是他们没有找到他们:-)
| 归档时间: |
|
| 查看次数: |
13814 次 |
| 最近记录: |