第 1 頁 (共 1 頁)
/var/log/httpd 裡的奇怪記錄
發表於 : 06/11/2003 10:57 pm
由 paladin
心血來潮去翻看 /var/log/httpd/access_log,發現許多意想不到的記錄。我原先只是為了方便而把 web sharing 打開,並沒有架什麼站或對外公開,照說沒有別人會 access 才對。如果我自己用 browser 看 localhost, 看到的記錄應該是:
代碼: 選擇全部
127.0.0.1 - - [11/Jun/2003:23:09:56 +0900] "GET / HTTP/1.1" 200 1456
127.0.0.1 - - [11/Jun/2003:23:09:56 +0900] "GET /favicon.ico HTTP/1.1" 404 303
127.0.0.1 - - [11/Jun/2003:23:09:57 +0900] "GET /apache_pb.gif HTTP/1.1" 200 232 6
但我的 log 裡面有許多筆奇怪的記錄。如
代碼: 選擇全部
57.250.229.136 - - [10/Jun/2003:17:45:57 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 296
57.250.229.136 - - [10/Jun/2003:17:45:58 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 294
57.250.229.136 - - [10/Jun/2003:17:46:00 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
57.250.229.136 - - [10/Jun/2003:17:46:02 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304
57.250.229.136 - - [10/Jun/2003:17:46:03 +0900] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 318
咦?這人是誰呀?想偷偷給我執行 cmd.exe?
又如
代碼: 選擇全部
219.102.59.123 - - [10/Jun/2003:21:29:03 +0900] "GET/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090
%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u
531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 291
default.ida?這是什麼?(overflow attack?)
請問這作何解釋呢?有人用找漏洞的程式到處在亂試嗎?:X
而看來這些奇怪的 access 非常頻繁,就在我寫這篇 post 的當口又出現了一筆。各位架站的前輩們,常常碰到這現象嗎?
Thanks
發表於 : 06/11/2003 11:39 pm
由 bryanchang
這些都是寬頻網路上的病毒在到處隨機找尋 Windows 的機器以便入侵。你機器因為 Port 80 時開著的,所以會被病毒掃描到。
發表於 : 06/12/2003 12:31 am
由 paladin
bryanchang 寫:這些都是寬頻網路上的病毒在到處隨機找尋 Windows 的機器以便入侵。你機器因為 Port 80 時開著的,所以會被病毒掃描到。
多謝.
又想到幾個問題:
1. 在白老闆或其他有架站的朋友的經驗中,這類入侵 attempts 的數量大約多少?我以往用學校的網路時都沒什麼問題。現在搬到新家,改用這家 ISP 後,從五月20多日到現在,每天都接到十多個左右,有時會高到將近五十個。這算正常嗎?
2. 如果頻率過高,這種問題可向 ISP 抱怨嗎?
3. Windows 上的 http server 真有這麼大的漏洞,能讓人執行 cmd.exe 嗎?
發表於 : 06/12/2003 12:33 am
由 paladin
bryanchang 寫:這些都是寬頻網路上的病毒在到處隨機找尋 Windows 的機器以便入侵。你機器因為 Port 80 時開著的,所以會被病毒掃描到。
多謝.
又想到幾個問題:
1. 在白老闆或其他有架站的朋友的經驗中,這類入侵 attempts 的數量大約多少?我以往用學校的網路時都沒什麼問題。現在搬到新家,改用這家 ISP 後,從五月20多日到現在,每天都接到十多個左右,有時會高到將近五十個。這算正常嗎?
2. 如果頻率過告,這種問題可向 ISP 抱怨嗎?尤其是這些傢伙之中許多人都是從我的 ISP 來的。
3. Windows 上的 http server 真有這麼大的漏洞,能讓人執行 cmd.exe 嗎?
發表於 : 06/12/2003 1:36 am
由 bryanchang
paladin 寫:
1. 在白老闆或其他有架站的朋友的經驗中,這類入侵 attempts 的數量大約多少?我以往用學校的網路時都沒什麼問題。現在搬到新家,改用這家 ISP 後,從五月20多日到現在,每天都接到十多個左右,有時會高到將近五十個。這算正常嗎?
這種「噪音」可多了,因為很多 PC 用戶在裝了寬頻網路後沒有裝防火牆,而機器又不關,因此更是嚴重。
paladin 寫:2. 如果頻率過告,這種問題可向 ISP 抱怨嗎?尤其是這些傢伙之中許多人都是從我的 ISP 來的。
不知道,反正你是用 Apache,這些病毒拿你也沒辦法。
paladin 寫:3. Windows 上的 http server 真有這麼大的漏洞,能讓人執行 cmd.exe 嗎?
哈~ IIS 的漏洞大的可以讓兩架 747 編隊飛過。
發表於 : 06/12/2003 2:07 am
由 ross_tt
bryanchang 寫:哈~ IIS 的漏洞大的可以讓兩架 747 編隊飛過。
講到這個,小弟我就有切身之痛......
去年小弟幫自己服務的部門架個 web server, OS 用的是 Win2000 Server。裝 OS 那天剛好是星期五,裝完 OS 之後想說其他的設定禮拜一上班的時候再來弄,結果機器就這樣子開了兩天;兩天之後來上班就被公司的 MIS 給罵死了。
因為放假這兩天的期間,被"黑客"(從紀錄來看應該是大陸那邊過來的)跑進來裝了隻木馬程式,一直對某公司作 DOS 攻擊,結果對方還寄了一封警告意味濃厚警告信...
從此之後,即使是在 Windows 上面,小弟我也是裝 Apache 來跑!如果有人要跑 ASP .... 叫他自己想辦法
發表於 : 06/12/2003 2:34 am
由 謝孟叡
paladin 寫:
1. 在白老闆或其他有架站的朋友的經驗中,這類入侵 attempts 的數量大約多少?我以往用學校的網路時都沒什麼問題。現在搬到新家,改用這家 ISP 後,從五月20多日到現在,每天都接到十多個左右,有時會高到將近五十個。這算正常嗎?
2. 如果頻率過高,這種問題可向 ISP 抱怨嗎?
以前我在某醫院當 RA 時,我們的機器一天就 dump 1000 多次的 error.log. 真是糟透了,這樣也算是一種攻擊--讓你的硬碟空間變少的攻擊。
Re: /var/log/httpd 裡的奇怪記錄
發表於 : 06/26/2003 10:00 pm
由 junehao