LogWatch是一个非常实用的工具,可以为Linux系统提供每日日志报告。它包括多个信息总结,如流量、登录用户、使用sudo的用户、相关内核消息、探测服务器的IP地址、探测您的Apache的搜索引擎等等...
其中一部分内容包含使用已知漏洞尝试攻击您的服务器的IP地址。它们不一定成功了,但在报告中仍然列出以便了解。以下是示例:
Attempts to use known hacks by 4 hosts were logged 4 time(s) from:
187.13.156.179: 1 Time(s)
^null$ 1 Time(s)
187.60.121.62: 1 Time(s)
^null$ 1 Time(s)
189.123.240.18: 1 Time(s)
^null$ 1 Time(s)
189.70.214.124: 1 Time(s)
^null$ 1 Time(s)
我的问题是什么是^null$攻击?我尝试过谷歌搜索,但没有相关的结果出现。
通常情况下,这不是什么需要担心的事情 - 它并不一定是实际攻击。 ^null$ "攻击" 只是客户端连接在没有发送任何HTTP请求的情况下终止(即建立了与您的Web服务器的连接,但未收到任何请求)。
如果您的服务器从单个IP尝试了多次或每个IP有许多^null$ 条目,则可能存在有计划的尝试证据。 就上面给出的示例日志而言,我建议您可以安全地忽略它。
有趣的是,Heartbleed探测可以转化为LogWatch中的以下警告:
1个主机尝试使用已知黑客攻击方式,共记录了1次日志:
来自54.82.203.167:1次
^null$ 1次
相应的Apache SSL日志条目为:
XXXXXX:443 54.82.203.167 - - [10/Apr/2014:00:19:45 +0200] "quit" 301 1313 "-" "-"
有几种监控服务也会触发此类警报,例如uptimerobot.com:
10个主机尝试使用已知的黑客攻击方式,共记录了107次,分别来自以下IP地址: 74.86.158.106: 91次 ^null$ 91次
74.86.158.106 - - [09/Feb/2015:01:09:54 -0500] "GET / HTTP/1.1" 200 17896 "-" "Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/)"
74.86.158.106 - - [09/Feb/2015:01:10:47 -0500] "HEAD / HTTP/1.1" 200 - "-" "Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/)"
某些故障转移应用程序也可能会触发警报,例如heartbeat和ldirectord(取决于它们的配置)。