apache - msi - ¿Estoy siendo pirateado?
apache wikipedia (4)
Estas son solo algunas líneas de mi Apache 2.0 error_log :
[Sun Nov 25 08:22:04 2012] [error] [client 64.34.195.190] File does not exist: /var/www/vhosts/default/htdocs/admin
[Sun Nov 25 14:14:32 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/azenv.php
[Wed Nov 28 03:02:01 2012] [error] [client 91.205.189.15] File does not exist: /var/www/vhosts/default/htdocs/user
[Wed Nov 28 03:44:35 2012] [error] [client 66.193.171.223] File does not exist: /var/www/vhosts/default/htdocs/vtigercrm
[Mon Dec 03 00:09:16 2012] [error] [client 82.223.239.68] File does not exist: /var/www/vhosts/default/htdocs/jmx-console
[Mon Dec 03 20:48:44 2012] [error] [client 221.2.209.46] File does not exist: /var/www/vhosts/default/htdocs/manager
[Thu Dec 06 07:37:04 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/w00tw00t.at.blackhats.romanian.anti-sec:)
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/pma
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/myadmin
[Thu Dec 06 07:37:07 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/MyAdmin
[Thu Dec 13 02:19:53 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/judge.php
Los errores más comunes son solicitudes para el archivo "phpMyAdmin" y "w00tw00t.at.blackhats.romanian.anti-sec :)".
Puedo ver la dirección IP de donde provienen las solicitudes. ¿Pero quién es el "cliente"?
Gracias, Shane.
A menos que realmente use /var/www/vhosts/default/ para alojar un sitio web, esto significa que tiene solicitudes dirigidas al host predeterminado que no están siendo detectadas por la configuración de su virtualhosts.
Ignore por un momento que estas son solicitudes maliciosas, porque la razón subyacente de estos vhosts / default / errors es que probablemente tenga SSL deshabilitado para un host virtual, y estas son solicitudes HTTPS atrapadas en la configuración predeterminada del servidor.
Puede agregar %v %V %p a sus parámetros de registro de acceso Apache en httpd.conf para ver más información sobre cuáles son estas solicitudes y qué servidor virtual / nombre de servidor está manejando ( %v %V ) y en qué puerto ( %p ) las solicitudes se realizan a través de (típicamente el puerto 443 si es HTTPS).
Para corregir el aspecto HTTPS, habilitaba SSL y luego colocaba RewriteRule para enviar solicitudes HTTPS a HTTP (si ese es el comportamiento previsto). Más información acerca de cómo hacer eso aquí .
De lo contrario, para ayudar con los niños de script, el agujero negro mencionado anteriormente es el camino a seguir. Solo asegúrese de no estar enviando por error un rastreador web / arañas legítimos que soliciten HTTPS a la misma muerte galáctica; por ejemplo, el robot de Google prueba páginas legítimas a través de HTTPS ya que esa es la dirección en la que Google quiere que ingrese la web.
Esto es solo un script automático implementado por muchos Script Kiddies que buscan una brecha de seguridad en su versión / configuración de Apache. La firma w00tw00t generalmente la deja DFind .
Solo use un programa como fail2ban configurado, como se explica en este ejemplo para evitar que estas solicitudes lo inunden:
Esto no necesariamente significa que ha sido pirateado, pero el servidor ha sido escaneado en busca de vulnerabilidades. Sin embargo, si usa el software que vio en esos registros y es una versión anterior con vulnerabilidades conocidas, debe verificar si su servidor tiene archivos inusuales y actividades de inicio de sesión.
Las solicitudes para esto generalmente se envían sin un encabezado de servidor. Simplemente cree un host virtual predeterminado para las solicitudes que no tengan un encabezado de servidor que usted espera y un agujero negro. También es divertido registrar el tráfico interrumpido y hacer un DNS reverso para ver si proviene de otro servidor web (¿está comprometido?) Y contactar al propietario según la base de datos whois. Nunca se sabe quién está ejecutando secuencias de comandos tontas de un servidor de identificación pública para buscar vulnerabilidades y luego explotarlas a través del túnel ToR. Use la información de contacto del quemador si no quiere llamar la atención.
Para dar seguimiento a la respuesta dada por @ user823629, aquí hay una configuración predeterminada de host virtual que uso en Apache 2.4:
<VirtualHost *:80 *:443>
# Default vhost for requests not matching IP or Host of other vhosts
ServerName blackhole
ErrorLog logs/error_log_blackhole
CustomLog logs/access_log_blackhole combined
Redirect 404 /
</VirtualHost>
Redirige todas las solicitudes a la página 404 predeterminada.
Puse esto en conf.d y le doy un nombre de conf.d/0_default.conf para que venga antes que otras definiciones de vhosts y sea el host virtual predeterminado. Esto se puede verificar a través de:
apachectl -t -D DUMP_VHOSTS
Otros hosts virtuales coincidirán antes de este vhost predeterminado si 1) su dirección IP y puerto coinciden con la definición de VirtualHost más explícitamente (host virtual basado en IP), o 2) la solicitud contiene un encabezado de Host que coincide con la solicitud (host virtual basado en nombre) ) De lo contrario, la solicitud recurrirá al servidor virtual predeterminado de agujero negro definido anteriormente.
Consulte http://httpd.apache.org/docs/current/vhosts/details.html para obtener más detalles sobre la coincidencia de host virtual.