LogWatch是一个很好的工具,它提供有关linux日志文件的每日报告。它包括几个信息摘要,如流量,登录用户,使用sudo的用户,相关内核消息,探测服务器的IP,探测你的apache的搜索引擎等等。
一个部分包含使用已知漏洞尝试破解您的服务器的IP地址。它们并不一定成功,但无论如何它们都被列在报告中以获取知识。这就是它的样子。
Attempts to use known hacks by 4 hosts were logged 4 time(s) from:
187.13.156.179: 1 Time(s)
^null$ 1 Time(s)
187.60.121.62: 1 Time(s)
^null$ 1 Time(s)
189.123.240.18: 1 Time(s)
^null$ 1 Time(s)
189.70.214.124: 1 Time(s)
^null$ 1 Time(s)
我的问题是这次^null$攻击究竟是什么?我试过谷歌搜索,但似乎没有任何相关性。
答案 0 :(得分:5)
这通常不值得担心 - 它不一定是真正的攻击。 ^null$“攻击”只是一个客户端连接,在没有发送任何HTTP请求的情况下终止(即与您的Web服务器建立连接,但没有收到请求)。
如果您的服务器上有多次尝试来自单个IP,或者每个IP有多个^null$条目,那么您可能会有一致尝试的证据。实际上,我建议您可以放心地忽略上面给出的示例日志。
答案 1 :(得分:5)
值得注意的是Heartbleed探测转化为LogWatch的警告:
Attempts to use known hacks by 1 hosts were logged 1 time(s) from:
54.82.203.167: 1 Time(s)
^null$ 1 Time(s)
相应的Apache SSL日志条目是:
XXXXXX:443 54.82.203.167 - - [10/Apr/2014:00:19:45 +0200] "quit" 301 1313 "-" "-"
答案 2 :(得分:1)
几种类型的监控服务也会使这种情况发生变化;例如uptimerobot.com:
尝试使用10个主机的已知黑客被记录107次: 74.86.158.106:91时间 ^ null $ 91时间
74.86.158.106 - - [09 / Feb / 2015:01:09:54 -0500]“GET / HTTP / 1.1”200 17896“ - ”“Mozilla / 5.0 +(兼容; UptimeRobot / 2.0; {{3 }})“
74.86.158.106 - - [09 / Feb / 2015:01:10:47 -0500]“HEAD / HTTP / 1.1”200 - “ - ”“Mozilla / 5.0 +(兼容; UptimeRobot / 2.0; {{3 }})“
某些类型的故障转移应用程序也可能会将其设置为关闭,例如心跳和ldirectord(取决于其配置)。