Jul*_*oHM 9 linux security exploit
LogWatch是一个很好的工具,它提供有关linux日志文件的每日报告.它包括几个信息摘要,如流量,登录用户,使用sudo的用户,相关内核消息,探测服务器的IP,探测你的apache的搜索引擎等等......
一个部分包括使用已知漏洞尝试破解您的服务器的IP地址.它们并不一定成功,但无论如何它们都被列在报告中以获取知识.这就是它的样子.
Attempts to use known hacks by 4 hosts were logged 4 time(s) from:
187.13.156.179: 1 Time(s)
^null$ 1 Time(s)
187.60.121.62: 1 Time(s)
^null$ 1 Time(s)
189.123.240.18: 1 Time(s)
^null$ 1 Time(s)
189.70.214.124: 1 Time(s)
^null$ 1 Time(s)
我的问题是这次^null$袭击究竟是什么?我试过谷歌搜索,但似乎没有任何相关性.
小智 5
这通常不用担心 - 它不一定是真正的攻击.该^null$"攻击"是一个简单的客户端连接不发送任何HTTP请求终止(即建立一个连接到Web服务器,但没有收到任何要求).
如果您在一台IP上对您的服务器进行了多次尝试,或者^null$每个IP都有多次输入,那么您可能会有一致尝试的证据.实际上,我建议您可以放心地忽略上面给出的示例日志.
值得注意的是,Heartbleed探测转换为LogWatch的警告:
Attempts to use known hacks by 1 hosts were logged 1 time(s) from:
54.82.203.167: 1 Time(s)
^null$ 1 Time(s)
相应的Apache SSL日志条目是:
XXXXXX:443 54.82.203.167 - - [10/Apr/2014:00:19:45 +0200] "quit" 301 1313 "-" "-"
(使用http://filippo.io/Heartbleed/)
| 归档时间: |
|
| 查看次数: |
3766 次 |
| 最近记录: |