29

これが私のApache2.0からのほんの数行error_logです:

[Sun Nov 25 08:22:04 2012] [error] [client 64.34.195.190] File does not exist: /var/www/vhosts/default/htdocs/admin
[Sun Nov 25 14:14:32 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/azenv.php
[Wed Nov 28 03:02:01 2012] [error] [client 91.205.189.15] File does not exist: /var/www/vhosts/default/htdocs/user
[Wed Nov 28 03:44:35 2012] [error] [client 66.193.171.223] File does not exist: /var/www/vhosts/default/htdocs/vtigercrm
[Mon Dec 03 00:09:16 2012] [error] [client 82.223.239.68] File does not exist: /var/www/vhosts/default/htdocs/jmx-console
[Mon Dec 03 20:48:44 2012] [error] [client 221.2.209.46] File does not exist: /var/www/vhosts/default/htdocs/manager
[Thu Dec 06 07:37:04 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/w00tw00t.at.blackhats.romanian.anti-sec:)
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/pma
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/myadmin
[Thu Dec 06 07:37:07 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/MyAdmin
[Thu Dec 13 02:19:53 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/judge.php

最も一般的なエラーは、「phpMyAdmin」ファイルと「w00tw00t.at.blackhats.romanian.anti-sec:)」のリクエストです。

リクエストの送信元のIPアドレスを確認できます。しかし、「クライアント」は誰ですか?

ありがとう、シェーン。

4

4 に答える 4

63

これは、Apacheのバージョン/構成でセキュリティ違反を探している多くのスクリプトキディによってデプロイされた単なる自動スクリプトです。署名w00tw00tは、通常、によって残されDFindます。

この例のように構成されたようなプログラムを使用するだけでfail2ban、これらの要求によるフラッディングを回避できます。

https://web.archive.org/web/20160617020600/http://www.userdel.com/post/18618537324/block-w00tw00t-scans-with-fail2ban

これは必ずしもハッキングされたことを意味するわけではありませんが、サーバーの脆弱性がスキャンされています。ただし、これらのログに表示されたソフトウェアのいずれかを使用していて、それが既知の脆弱性を持つ古いバージョンである場合は、サーバーで異常なファイルやログインアクティビティがないかどうかを確認する必要があります。

于 2012-12-16T02:16:16.797 に答える
6

これに対するリクエストは通常​​、サーバーヘッダーなしで送信されます。期待するサーバーヘッダーがないリクエストに対してデフォルトの仮想ホストを作成し、それをブラックホール化するだけです。また、壊れたトラフィックをログに記録し、DNSを逆引きして、別のWebサーバーからのものかどうかを確認し(侵害されていますか?)、whoisデータベースに基づいて所有者に連絡するのも楽しいです。誰が公的に識別可能なサーバーから愚かなスクリプトを実行して脆弱性をスキャンし、後でToRトンネルを介してそれらを悪用しているのかはわかりません。自分に注意を向けたくない場合は、バーナーの連絡先情報を使用してください。

于 2013-11-17T15:05:04.680 に答える
6

@ user823629の回答をフォローアップするために、Apache2.4で使用するデフォルトの仮想ホスト構成を次に示します。

<VirtualHost *:80>
    # Default vhost for requests not matching IP or Host of other vhosts
    ServerName blackhole
    ErrorLog logs/error_log_default
    CustomLog logs/access_log_default combined

    Redirect 404 /
</VirtualHost>

<VirtualHost *:443>
    # Default vhost for requests not matching IP or Host of other vhosts
    ServerName blackhole

    ErrorLog logs/ssl_error_log_default
    CustomLog logs/ssl_access_log_default combined
    CustomLog logs/ssl_request_log_default   "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

    Redirect 404 /
</VirtualHost>

すべてのリクエストをデフォルトの404ページにリダイレクトします。他のサイトと一致しないSSL要求は、最終的に2番目のVirtualHost定義になり、もちろん証明書エラーが発生しますが、これは予想どおりであり、問​​題ありません。

これを入れて、他のvhosts定義の前に来るようにconf.d名前を付け、デフォルトの仮想ホストになります。conf.d/0_default.confこれは、次の方法で確認できます。

apachectl -t -D DUMP_VHOSTS

またはRedhat/Fedora / CentOSディストリビューション:

httpd -t -D DUMP_VHOSTS

次の場合、他の仮想ホストはこのデフォルトの仮想ホストの前に一致します。

  1. それらのIPアドレスとポートは、VirtualHost定義とより明示的に一致します(IPベースの仮想ホスト)。
  2. リクエストには、リクエストにHost一致するヘッダーが含まれています(名前ベースの仮想ホスト)。それ以外の場合、リクエストは上記で定義されたデフォルトのブラックホール仮想ホストにフォールバックします。

IPアドレスが指定されたVirtualHost定義に注意してください。これらはブラックホールの前で一致するため、間違った構成がそのIPのデフォルトになる可能性があります。必要に応じて、ブラックホールに特定のIPをリストします。

仮想ホストのマッチングの詳細については、http://httpd.apache.org/docs/current/vhosts/details.htmlを参照してください。

于 2014-12-09T19:03:33.460 に答える
0

実際に/var/www/vhosts/default/ウェブサイトのホスティングに使用しない限り、これは、仮想ホストの設定によってキャッチされていないデフォルトのホストに送信されるリクエストがあることを意味します。

これらのvhosts/default /エラーの根本的な理由は、おそらく仮想ホストに対してSSLが無効になっていることであり、これらはデフォルトのサーバー構成でキャッチされたHTTPS要求であるため、これらが悪意のある要求であることをしばらく無視してください。

httpd.confのApacheアクセスログパラメータに追加%v %V %pして、これらのリクエストが何であるか、どのvirtualhost / servernameがそれらを処理しているか()、およびリクエストが%v %Vどのポート(%p)を介して行われているのか(通常はポート443の場合)の詳細を確認できます。 HTTPS)。

HTTPSの側面を修正するには、SSLを有効にしてから、RewriteRuleを挿入してHTTPS要求をHTTPに送信します(それが意図された動作である場合)。これを行う方法の詳細については、こちらをご覧ください

それ以外の場合は、スクリプトキディを支援するために、上記のブラックホールが進むべき道です。同じ銀河系の死にHTTPSを要求する正当なWebクローラー/スパイダーを誤って送信していないことを確認してください。たとえば、GooglebotはHTTPSを介して正当なページをテストします。これは、GoogleがWebに向かう方向であるためです。

于 2016-04-06T06:51:10.657 に答える