Skocz do zawartości
Zaloguj się, aby obserwować  
NetMat

Logi Apache

Polecane posty

Witam,

 

Od nie dawna znajduje w logach dziwne wpisy, a mianowicie ktoś usiłują znaleźć jakiś panel zarządzania stroną oraz panel zarządzania serwerem mysql (może kiedyś się skapnie że serwer mysql jest na całkiem innej maszynie biggrin.png) ale wracając do tematu od kilku dni znajduje takie logi niemal codziennie różni się tylko adres IP klienta wygląda to tak :

 

[Mon Apr 09 17:39:50 2012] [error] [client 92.**.***.*] File does not exist: /home/www/favicon.ico
[Mon Apr 09 23:00:07 2012] [error] [client 125.***.***.***] File does not exist: /home/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Mon Apr 09 23:00:07 2012] [error] [client 125.***.***.***] File does not exist: /home/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpMyAdmin
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpMyAdmin
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpmyadmin
[Mon Apr 09 23:00:08 2012] [error] [client 125.***.***.***] File does not exist: /home/www/phpmyadmin
[Mon Apr 09 23:00:09 2012] [error] [client 125.***.***.***] File does not exist: /home/www/pma
[Mon Apr 09 23:00:09 2012] [error] [client 125.***.***.***] File does not exist: /home/www/pma
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/myadmin
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/myadmin
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/MyAdmin
[Mon Apr 09 23:00:10 2012] [error] [client 125.***.***.***] File does not exist: /home/www/MyAdmin
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/w00tw00t.at.blackhats.romanian.anti-sec:)
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/phpMyAdmin
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/phpmyadmin
[Tue Apr 10 08:19:50 2012] [error] [client 85.**.***.*] File does not exist: /home/www/pma
[Tue Apr 10 08:19:51 2012] [error] [client 85.**.***.*] File does not exist: /home/www/myadmin
[Tue Apr 10 08:19:51 2012] [error] [client 85.**.***.*] File does not exist: /home/www/MyAdmin

 

Troszkę mnie to zaniepokoiło dlatego dzisiaj wgrałem fail2ban na wszelki wypadek aby się upewnić że serwer jest troszkę bardziej bezpieczny.

 

Poza tym znalazłem jeszcze coś ciekawego w logach a mianowicie :

125.***.***.*** - - [09/Apr/2012:23:00:07 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 490 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:07 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 490 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:08 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:09 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:09 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 478 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 478 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
125.***.***.*** - - [09/Apr/2012:23:00:10 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 490 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:50 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:51 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 478 "-" "ZmEu"
85.**.***.* - - [10/Apr/2012:08:19:51 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"

 

Adresów IP nie będę podawał bo nie wiem czy mogę, ale w każdym bądź razie mam do was pytanie, czy jeśli strona działa na serwerze mysql który jest na całkiem innej maszynie a na tym serwerze mam tylko serwer apache oraz serwer ftp to czy moja maszyna jest zagrożona ??

 

Jeśli chodzi o zabezpieczenia to od dzisiaj działa fail2ban na domyślnej konfiguracji (dzisiaj jeszcze troszkę w nim pogrzebię aby go "ulepszyć" biggrin.png) oraz iptables który jest skonfigurowany aby blokował wszystko oprócz porótw 80 oraz 21 i 22.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Są to zwykłe skany - jakich miliony dziennie. Przy dobrej konfiguracji i bezpiecznych hasłach nie masz się czego obawia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Olej to, zbanowanie jednego IP nic nie da bo będa inne. Pamietam ze kiedys byly do tego jakies regulki.

 

Dokładnie... teraz wszystko siedzi na dynamicznych adresach IP, wystarczy głupie zrestartowanie routera i przydzielony jest kolejny adres...

 

Jeśli sobie przypomnisz te regułki to bardzo bym prosił jakiś link na pw.

 

Pozdrawiam

Mateusz

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×