क्या मुझे हैक किया जा रहा है?

Question

यहाँ बस मेरी अपाची 2.0 error_log की कुछ पंक्तियां हैं:

[Sun Nov 25 08:22:04 2012] [error] [client 64.34.195.190] File does not exist: /var/www/vhosts/default/htdocs/admin 
[Sun Nov 25 14:14:32 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/azenv.php 
[Wed Nov 28 03:02:01 2012] [error] [client 91.205.189.15] File does not exist: /var/www/vhosts/default/htdocs/user 
[Wed Nov 28 03:44:35 2012] [error] [client 66.193.171.223] File does not exist: /var/www/vhosts/default/htdocs/vtigercrm 
[Mon Dec 03 00:09:16 2012] [error] [client 82.223.239.68] File does not exist: /var/www/vhosts/default/htdocs/jmx-console 
[Mon Dec 03 20:48:44 2012] [error] [client 221.2.209.46] File does not exist: /var/www/vhosts/default/htdocs/manager 
[Thu Dec 06 07:37:04 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/w00tw00t.at.blackhats.romanian.anti-sec:) 
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin 
[Thu Dec 06 07:37:05 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin 
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/pma 
[Thu Dec 06 07:37:06 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/myadmin 
[Thu Dec 06 07:37:07 2012] [error] [client 116.254.203.24] File does not exist: /var/www/vhosts/default/htdocs/MyAdmin 
[Thu Dec 13 02:19:53 2012] [error] [client 96.254.171.2] File does not exist: /var/www/vhosts/default/htdocs/judge.php 

सबसे आम त्रुटियों "phpMyAdmin" फ़ाइल के लिए अनुरोध, और कर रहे हैं "w00tw00t.at.blackhats.romanian.anti-सेकंड :)" ।

मैं आईपी पता देख सकता हूं कि अनुरोध आ रहे हैं। लेकिन "ग्राहक" कौन है?

धन्यवाद, शेन।

Answer 1

यह केवल एक स्क्रिप्ट किड्स द्वारा तैनात एक स्वचालित स्क्रिप्ट है जो आपके अपाचे संस्करण/कॉन्फ़िगरेशन में सुरक्षा उल्लंघन की तलाश में है। हस्ताक्षर w00tw00t आमतौर पर DFind द्वारा छोड़ा जाता है।

बस इस उदाहरण के रूप में इस तरह के लिए कॉन्फ़िगर किया गया fail2ban की तरह एक कार्यक्रम इन अनुरोधों से भरती जा रही से बचने के लिए बताते हैं का उपयोग करें:

https://web.archive.org/web/20160617020600/http://www.userdel.com/post/18618537324/block-w00tw00t-scans-with-fail2ban

यह जरूरी नहीं कि आप हैक किया गया है, लेकिन कमजोरियों के लिए सर्वर स्कैन किया गया है। हालांकि, अगर आप उन लॉगों में से किसी भी सॉफ्टवेयर का उपयोग करते हैं और यह एक पुराना संस्करण है जो कमजोरियों को जानता है, तो आपको असामान्य फाइलों और लॉगिन गतिविधियों के लिए अपने सर्वर की जांच करनी चाहिए।

Answer 2

इसके लिए अनुरोध आमतौर पर सर्वर शीर्षलेख के बिना भेजे जाते हैं। उन अनुरोधों के लिए बस एक डिफ़ॉल्ट वर्चुअल होस्ट बनाएं जिनके पास आपके द्वारा अपेक्षित सर्वर हेडर नहीं है और इसे ब्लैकहोल करें। टूटी हुई यातायात को लॉग करने के लिए भी मजेदार है और यह देखने के लिए कि क्या यह किसी अन्य वेबसर्वर (समझौता?) से आ रहा है और व्हाइस डेटाबेस पर आधारित मालिक से संपर्क करें। आप कभी भी नहीं जानते कि सार्वजनिक रूप से पहचाने जाने योग्य सर्वर से कमजोरियों के लिए स्कैन करने के लिए मूर्खतापूर्ण स्क्रिप्ट चल रही हैं और बाद में उन्हें सुरंग सुरंग पर शोषण किया गया है। यदि आप स्वयं पर ध्यान नहीं देना चाहते हैं तो बर्नर संपर्क जानकारी का प्रयोग करें।

Answer 3

@ user823629 द्वारा दिए गए जवाब पर अनुवर्ती कार्रवाई के लिए, यहाँ एक डिफ़ॉल्ट वर्चुअल होस्ट विन्यास मैं अपाचे 2.4 पर उपयोग करते हैं:

<VirtualHost *:80 *:443> 
    # Default vhost for requests not matching IP or Host of other vhosts 
    ServerName blackhole 
    ErrorLog logs/error_log_blackhole 
    CustomLog logs/access_log_blackhole combined 
    Redirect 404/
</VirtualHost> 

यह डिफ़ॉल्ट 404 पृष्ठ पर सभी अनुरोधों पुनर्निर्देश।

मैंने इसे conf.d में रखा और इसे conf.d/0_default.conf का नाम दिया ताकि यह अन्य vhosts परिभाषाओं से पहले आता है और यह डिफ़ॉल्ट वर्चुअल होस्ट है। इस के माध्यम से सत्यापित किया जा सकता:

apachectl -t -D DUMP_VHOSTS 

अन्य आभासी मेजबान यह डिफ़ॉल्ट vhost पहले से मिलान करेगा 1) अपने आईपी पते और पोर्ट VirtualHost परिभाषा अधिक स्पष्ट रूप से (आईपी आधारित आभासी मेजबान) से मेल खाता है, या 2) अनुरोध शामिल करता है, तो एक Host हेडर जो अनुरोध से मेल खाता है (नाम-आधारित वर्चुअल होस्ट)। अन्यथा, अनुरोध ऊपर परिभाषित डिफ़ॉल्ट ब्लैकहोल वर्चुअल होस्ट पर वापस आ जाएगा।

वर्चुअल होस्ट मिलान पर अधिक जानकारी के लिए http://httpd.apache.org/docs/current/vhosts/details.html देखें।

Answer 4

जब तक आप वास्तव में किसी वेबसाइट की मेजबानी के लिए /var/www/vhosts/default/ का उपयोग नहीं करते हैं, तो इसका मतलब है कि आपके पास डिफ़ॉल्ट होस्ट पर जाने का अनुरोध है जो आपके वर्चुअलहोस्ट सेटअप द्वारा पकड़ा नहीं जा रहा है।एक पल है कि इन दुर्भावनापूर्ण अनुरोध कर रहे हैं के लिए

उपेक्षा, क्योंकि इन vhosts/डिफ़ॉल्ट/ त्रुटियों के लिए अंतर्निहित कारण आप शायद एसएसएल एक वर्चुअलहोस्ट के लिए विकलांग है, & इन HTTPS हैं डिफ़ॉल्ट सर्वर config में पकड़ा अनुरोध।

आप httpd.conf में अधिक जानकारी देखने के क्या इन अनुरोधों & क्या वर्चुअलहोस्ट/servername उन्हें (%v %V) & क्या बंदरगाह पर से निपटने है पर अपने अपाचे पहुँच प्रवेश मापदंडों के %v %V %p जोड़ सकते हैं (%p) अनुरोध किए जा रहे हैं के माध्यम से (आमतौर पर पोर्ट 443 अगर यह HTTPS है)।

HTTPS पहलू को ठीक करने के लिए, मैं SSL & सक्षम करता हूं, फिर HTTP पर HTTPS अनुरोध भेजने के लिए एक रिवाइटरूल डालता हूं (यदि यह इच्छित व्यवहार है)। More info about how to do that here।

अन्यथा स्क्रिप्ट किड्स के साथ मदद करने के लिए, ऊपर वर्णित ब्लैकहोल जाने का तरीका है। बस यह सुनिश्चित करें कि आप वैध वेब क्रॉलर/मकड़ियों को उसी गैलेक्टिक मौत पर HTTPS का अनुरोध करने के लिए गलती से नहीं भेज रहे हैं - उदाहरण के लिए Googlebot HTTPS के माध्यम से वैध पृष्ठों का परीक्षण करता है, क्योंकि Google की दिशा में वेब चाहता है कि वह दिशा है।