logo标签列表

Apache/PHP错误日志和访问日志中出现奇怪的信息

phpsecurityapachelogging
3

从昨天开始,我的Apache/PHP服务器开始记录奇怪的消息: 以下是日志摘录。 error.log:

[Mon Sep 05 12:37:25 2011] [warn] (OS 64)The specified network name is no longer available.  : winnt_accept: Asynchronous AcceptEx failed.
[Mon Sep 05 12:37:25 2011] [error] [client 77.85.194.198] Invalid URI in request \xec\x18\rN\x03.\xe7\x8c\xe46Cg\x85\x1a\xab\xca
[Mon Sep 05 12:43:37 2011] [warn] (OS 121)The semaphore timeout period has expired.  : winnt_accept: Asynchronous AcceptEx failed.

access.log:

178.37.24.223 - - [05/Sep/2011:12:36:41 +0200] "\xe80'y\xecT\xe5\xb7+\xba\x94\x92\xe4\xe4\xd6\x01Q\"\xe9p\x94\xe3" 200 2977 "-" "-"
77.85.194.198 - - [05/Sep/2011:12:37:25 +0200] "\xec\x18\rN\x03.\xe7\x8c\xe46Cg\x85\x1a\xab\xca" 400 226 "-" "-"
213.87.136.107 - - [05/Sep/2011:12:38:09 +0200] ">R1\x83\xa6\xf5\"\xd3\xe6\x85" 200 2977 "-" "-"
68.10.170.135 - - [05/Sep/2011:12:39:23 +0200] "-" 408 - "-" "-"
89.137.238.149 - - [05/Sep/2011:12:39:46 +0200] "-" 408 - "-" "-"
81.85.202.246 - - [05/Sep/2011:12:41:06 +0200] "-" 408 - "-" "-"
184.164.16.92 - - [05/Sep/2011:12:43:10 +0200] "\x02\xe0\x9fQ\xa1\x89s\x8d\x04\x1f\xb3o\xbc2I\xc4\x1f`>\xfd\x8b&Z\xae\xc0>" 200 2977 "-" "-"
208.54.44.237 - - [05/Sep/2011:12:44:39 +0200] "Zv\xa2\x05\xda\xc9\xe3\x17\xff\x18\xea\xd0}s\x88\xb8\xd3\xf6a\xee\xd6\xad\xf7\x8f|yoU+'\x9c\xea\xb4V_\xc8\x1b" 200 2977 "-" "-"
41.78.80.112 - - [05/Sep/2011:12:44:48 +0200] "\xc9\xbf\xc3!{hv:\x84\x83\x03\xeb\x1d\xd0,\xb5" 200 2977 "-" "-"

这只是一个开发服务器,但我已经在.htaccess文件中允许了所有访问,所以我不知道出了什么问题。 有任何想法吗?

我只允许本地主机访问服务器,但日志仍然充满了数据。我不太确定该怎么办,我已经改变了IP地址(我是动态的),但仍然收到请求。 - ekstrakt
这些确实是寻找入口的随机爬虫。当您托管FTP服务器、HTTP服务器、SSH服务器时,您会看到这些东西……如果它不是公共服务器,请设置防火墙以防止它们进入。如果是公共服务器,请务必始终保持服务器更新。也许您可以更改它正在侦听的端口以减少请求量,但仅此还不够。 - Konerak
2个回答
1
只要您保持Apache更新,就不会有问题。这些是已知的漏洞,黑客(通常通过僵尸网络)正在尝试攻击端口80上的每个IP。它并不是专门针对您的服务器,而是一种“随意开火”的攻击方式,希望有人运行旧版本的Apache,该版本已知容易受到此类攻击的影响。
0

看起来机器人正在尝试已知的漏洞/利用程序来寻找任何漏洞。

如果您愿意,您可以忽略它们,但在我看来,正确的做法是阻止这些IP或限制对您的开发服务器的访问。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接