Kan*_*eja 6 logging apache-2.2
我在我的 Apache 访问日志中看到类似这样的重复请求,它们已经耗尽了我所有的 CPU。
我有一个正常的 WordPress 安装。我在 Apache 配置中所做的所有更改都是将 ssl 和默认配置的 DocumentRoot 从 /var/www/html 更改为 /var/www。
此外,请求(updatedll.jpeg)中引用的文件在我的服务器上不存在,并且在 Web 应用程序的任何页面提供的源代码中也没有引用。
这可能是安全威胁吗?这些实际上是什么,我能做些什么来阻止它们。
我更改了服务器的 IP 地址。他们仍然不断地来。这意味着有人实际上是在访问域名而不是 IP 地址。
为什么我的服务器会为这些请求发送 301?它不应该发送 404 吗?是否因为 Wordpress 安装在我的根目录中,并且 Wordpress 的 .htaccess 文件正在发送 301 重定向?
我的磁盘访问日志似乎也间歇性地出现高峰。但实际上没有人访问该站点。除了下面的这些之外,我看不到任何访问日志。
此外,我看到所有请求似乎都来自以下 5 个 IP 地址之一。
201.4.132.43 - - [05/Jun/2014:07:35:08 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; BTRS103681; GTB7.5; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; AskTbATU3/5.15.29.67612; BRI/2)"
187.40.241.48 - - [05/Jun/2014:07:35:08 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.5; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
186.56.134.132 - - [05/Jun/2014:07:35:10 -0400] "GET /updatedll.jpg HTTP/1.0" 301 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
71.223.252.14 - - [05/Jun/2014:07:35:13 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; BTRS31756; GTB7.5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; InfoPath.2)"
85.245.229.167 - - [05/Jun/2014:07:35:14 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; MAAU; .NET4.0C; BRI/2; .NET4.0E; MAAU)"
更新
似乎是 32 个不同的 IP 地址,现在似乎正在访问我的服务器。
此外,命令“ngrep 'GET /updatedll.jpg' port 80”的输出如下:
T 75.172.162.70:1616 -> 162.243.34.213:80 [AP]
GET /updatedll.jpg HTTP/1.1..Accept: */*..Accept-Encoding: gzip, deflate..U
ser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;
BTRS31756; GTB7.5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506
.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; InfoPath.2)..Connection: Kee
p-Alive..Host: www.reinventweb.com....
###############
T 85.245.0.83:65166 -> 162.243.34.213:80 [AP]
GET /updatedll.jpg HTTP/1.1..Accept: */*..UA-CPU: x86..Accept-Encoding: gzi
p, deflate..User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;
GTB7.5; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648;
.NET CLR 3.5.21022)..Host: reinventweb.com..Connection: Keep-Alive....
######
在 Google 上搜索文件名会显示您的日志文件的几个副本以及另一个搜索结果,这似乎是上传日志。您应该能够判断该日志是否与您的网站相关,但我不是。
这五个 IP 地址都没有出现在该上传日志中,因此这并不能告诉我们太多信息。上传日志中的文件名对我来说看起来是合法的。如果不知道这些文件的内容,就不可能判断这些文件的内容是否与其名称相符。
最初可能包含在名为的文件中的内容updatedll.jpg?我猜测有人截取了如何更新某些 dll 的屏幕截图并将其上传到服务以便与其他人共享。分享可能不会发生在公共网络论坛上,因为那样我会发现更多的点击量。
为什么有人认为该文件驻留在您的主机上?我不知道。我发现将其包含\"%{Host}i\"在 Apache 中很有用LogFormat。
至于状态代码,您可以首先尝试自己访问文件名,看看它在日志文件中的样子。如果您获得不同的状态代码,则您自己的文件请求与他们的文件请求之间一定有所不同。
如果您无法弄清楚如何重现完全相同的状态代码,请尝试生成其流量的数据包转储。你可以使用类似的东西tcpdump -pni eth0 -s0 -Uw output.pcap 'host 201.4.132.43 || host 187.40.241.48 || host 186.56.134.132 || host 71.223.252.14 || host 85.245.229.167'
稍后您可以使用 Wireshark 检查输出以准确查看请求的样子。请记住使用 Wireshark 的更新版本,以防有人确实试图利用 Wireshark 中的漏洞。一旦您看到确切的请求,您应该能够通过 telnet 命令重现回复。
| 归档时间: |
|
| 查看次数: |
1861 次 |
| 最近记录: |