9

LogWatchは、Linux のログ ファイルに関する日次レポートを提供する便利なツールです。これには、トラフィック、ログインしたユーザー、sudo を使用したユーザー、関連するカーネル メッセージ、サーバーをプローブした IP、Apache をプローブした検索エンジンなど、いくつかの情報の要約が含まれます。

1 つのセクションには、サーバーをハッキングするために既知のエクスプロイト試行を使用した IP アドレスが含まれています。それらは必ずしも成功したわけではありませんが、知識のためにレポートに記載されています。これは、それがどのように見えるかです。

Attempts to use known hacks by 4 hosts were logged 4 time(s) from:
   187.13.156.179: 1 Time(s)
      ^null$ 1 Time(s) 
   187.60.121.62: 1 Time(s)
      ^null$ 1 Time(s) 
   189.123.240.18: 1 Time(s)
      ^null$ 1 Time(s) 
   189.70.214.124: 1 Time(s)
      ^null$ 1 Time(s)

私の質問は、この^null$攻撃とは正確には何ですか? これをグーグルで検索してみましたが、関連するものは何も表示されないようです。

4

3 に答える 3

5

これは通常、心配する必要はありません。必ずしも実際の攻撃であるとは限りません。「^null$攻撃」とは、HTTP リクエストを送信せずに終了するクライアント接続です (つまり、Web サーバーへの接続は確立されますが、リクエストは受信されません)。

単一の IP からサーバー上で複数の試行があった場合、または^null$IP ごとに多数のエントリがあった場合は、協調的な試行の証拠がある可能性があります。そのままでは、上記の例のログを安全に無視できることをお勧めします。

于 2013-05-17T07:38:55.277 に答える