/var/log/httpd 裡的奇怪記錄

內容

paladin · #1 文章由 **paladin** » 06/11/2003 10:57 pm

心血來潮去翻看 /var/log/httpd/access_log，發現許多意想不到的記錄。我原先只是為了方便而把 web sharing 打開，並沒有架什麼站或對外公開，照說沒有別人會 access 才對。如果我自己用 browser 看 localhost, 看到的記錄應該是：

代碼: 選擇全部

127.0.0.1 - - [11/Jun/2003:23:09:56 +0900] "GET / HTTP/1.1" 200 1456
127.0.0.1 - - [11/Jun/2003:23:09:56 +0900] "GET /favicon.ico HTTP/1.1" 404 303
127.0.0.1 - - [11/Jun/2003:23:09:57 +0900] "GET /apache_pb.gif HTTP/1.1" 200 232 6

但我的 log 裡面有許多筆奇怪的記錄。如

代碼: 選擇全部

57.250.229.136 - - [10/Jun/2003:17:45:57 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 296
57.250.229.136 - - [10/Jun/2003:17:45:58 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 294
57.250.229.136 - - [10/Jun/2003:17:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
57.250.229.136 - - [10/Jun/2003:17:46:02 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
57.250.229.136 - - [10/Jun/2003:17:46:03 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318

咦？這人是誰呀？想偷偷給我執行 cmd.exe?

又如

代碼: 選擇全部

219.102.59.123 - - [10/Jun/2003:21:29:03 +0900] "GET/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u
531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 291

default.ida?這是什麼？(overflow attack?)

請問這作何解釋呢？有人用找漏洞的程式到處在亂試嗎？:X

而看來這些奇怪的 access 非常頻繁，就在我寫這篇 post 的當口又出現了一筆。各位架站的前輩們，常常碰到這現象嗎？

Thanks

#2 文章由 **bryanchang** » 06/11/2003 11:39 pm

這些都是寬頻網路上的病毒在到處隨機找尋 Windows 的機器以便入侵。你機器因為 Port 80 時開著的，所以會被病毒掃描到。

paladin · #3 文章由 **paladin** » 06/12/2003 12:31 am

bryanchang 寫:這些都是寬頻網路上的病毒在到處隨機找尋 Windows 的機器以便入侵。你機器因為 Port 80 時開著的，所以會被病毒掃描到。

多謝.

又想到幾個問題：

1. 在白老闆或其他有架站的朋友的經驗中，這類入侵 attempts 的數量大約多少？我以往用學校的網路時都沒什麼問題。現在搬到新家，改用這家 ISP 後，從五月20多日到現在，每天都接到十多個左右，有時會高到將近五十個。這算正常嗎？

2. 如果頻率過高，這種問題可向 ISP 抱怨嗎？

3. Windows 上的 http server 真有這麼大的漏洞，能讓人執行 cmd.exe 嗎？

paladin · #4 文章由 **paladin** » 06/12/2003 12:33 am

bryanchang 寫:這些都是寬頻網路上的病毒在到處隨機找尋 Windows 的機器以便入侵。你機器因為 Port 80 時開著的，所以會被病毒掃描到。

多謝.

又想到幾個問題：

1. 在白老闆或其他有架站的朋友的經驗中，這類入侵 attempts 的數量大約多少？我以往用學校的網路時都沒什麼問題。現在搬到新家，改用這家 ISP 後，從五月20多日到現在，每天都接到十多個左右，有時會高到將近五十個。這算正常嗎？

2. 如果頻率過告，這種問題可向 ISP 抱怨嗎？尤其是這些傢伙之中許多人都是從我的 ISP 來的。

3. Windows 上的 http server 真有這麼大的漏洞，能讓人執行 cmd.exe 嗎？

#5 文章由 **bryanchang** » 06/12/2003 1:36 am

paladin 寫: 1. 在白老闆或其他有架站的朋友的經驗中，這類入侵 attempts 的數量大約多少？我以往用學校的網路時都沒什麼問題。現在搬到新家，改用這家 ISP 後，從五月20多日到現在，每天都接到十多個左右，有時會高到將近五十個。這算正常嗎？

這種「噪音」可多了，因為很多 PC 用戶在裝了寬頻網路後沒有裝防火牆，而機器又不關，因此更是嚴重。

paladin 寫:2. 如果頻率過告，這種問題可向 ISP 抱怨嗎？尤其是這些傢伙之中許多人都是從我的 ISP 來的。

不知道，反正你是用 Apache，這些病毒拿你也沒辦法。

paladin 寫:3. Windows 上的 http server 真有這麼大的漏洞，能讓人執行 cmd.exe 嗎？

哈～ IIS 的漏洞大的可以讓兩架 747 編隊飛過。

ross_tt · #6 文章由 **ross_tt** » 06/12/2003 2:07 am

bryanchang 寫:哈～ IIS 的漏洞大的可以讓兩架 747 編隊飛過。

講到這個，小弟我就有切身之痛......

去年小弟幫自己服務的部門架個 web server， OS 用的是 Win2000 Server。裝 OS 那天剛好是星期五，裝完 OS 之後想說其他的設定禮拜一上班的時候再來弄，結果機器就這樣子開了兩天；兩天之後來上班就被公司的 MIS 給罵死了。

因為放假這兩天的期間，被"黑客"(從紀錄來看應該是大陸那邊過來的)跑進來裝了隻木馬程式，一直對某公司作 DOS 攻擊，結果對方還寄了一封警告意味濃厚警告信...

從此之後，即使是在 Windows 上面，小弟我也是裝 Apache 來跑！如果有人要跑 ASP .... 叫他自己想辦法

謝孟叡 · #7 文章由 **謝孟叡** » 06/12/2003 2:34 am

paladin 寫: 1. 在白老闆或其他有架站的朋友的經驗中，這類入侵 attempts 的數量大約多少？我以往用學校的網路時都沒什麼問題。現在搬到新家，改用這家 ISP 後，從五月20多日到現在，每天都接到十多個左右，有時會高到將近五十個。這算正常嗎？
2. 如果頻率過高，這種問題可向 ISP 抱怨嗎？

以前我在某醫院當 RA 時，我們的機器一天就 dump 1000 多次的 error.log. 真是糟透了，這樣也算是一種攻擊--讓你的硬碟空間變少的攻擊。

junehao · #8 文章由 **junehao** » 06/26/2003 10:00 pm

請參考：
http://www.macosxhints.com/article.php? ... 7133345352
http://www.addme.com/issue222.htm
http://forums.devshed.com/t49234/sbd163 ... f84b7.html

老地方冰果室交流區

/var/log/httpd 裡的奇怪記錄

/var/log/httpd 裡的奇怪記錄

Re: /var/log/httpd 裡的奇怪記錄