Logwatch httpd - 黑客和探测

Question

有时在我的每日日志观察报告中，我注意到 httpd 下有一个部分是“尝试使用已知的黑客攻击......”，另一部分是关于有多少站点探测了服务器。我对这些部分有几个问题：

1. 是 apache 还是 logwatch 接收和报告已知的黑客攻击？哪个程序实际上知道它是一个已知的黑客？这些程序之一是否使用某个位置或参考点来列出已知攻击？
2. logwatch 是否能够报告攻击是否成功，或者我是否需要一个单独的软件来获取它？
3. 当 logwatch 报告 x 数量的站点探测服务器时，这到底是什么意思？是端口扫描吗？漏洞扫描？指纹？是 apache 向日志文件报告这一点，还是 logwatch 正在分析日志文件并弄清楚？

Answer 1

1. logwatch 知道一些著名的黑客攻击。这些被硬编码到 logwatch 中。检查文件services/http中以my @exploits. 您将看到这些只是检测到的一些非常简单的模式。
2. 如果网络服务器没有响应错误状态，logwatch 认为黑客成功。
3. 这类似于端口扫描 - 某人或某些软件会检查您的网络服务器是否易受攻击。

就我个人而言，我不会过多关注那份报告。