아파치 로그에 이상한 내용이 있습니다

아파치 로그에 이상한 내용이 있습니다

나는 일종의 웹앱을 만들고 있는데 현재 모든 것이 내 컴퓨터에서 실행됩니다. 나는 내 로그를 샅샅이 뒤지던 중 나를 약간 편집증적으로 만든 몇 가지 "이상한" 로그 항목을 발견했습니다. 여기 있습니다:

***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054

젠장... 이게 뭐야?!

답변1

이상한 새 파일, 변경된 시스템 파일 또는 서버의 기타 이상한 동작을 언급하지 않는 한 이상한 로그 항목에 대해 크게 걱정하지 않습니다. 서버가 인터넷에 공개되어 있으면 누구나 잘못된 형식의 HTTP 요청을 서버에 보낼 수 있으며 많은 사람(또는 봇)이 그렇게 합니다.

왜 그랬을까요? 글쎄, 일부 웹 서버에는 "올바른" 유형의 요청을 보내면 악용될 수 있는 알려진 취약점이 있습니다. 따라서 여러분이 보고 있는 것은 알려진(또는 알려지지 않은) 취약점에 대한 프로브일 것입니다. 그게 당신이 더 안전하다고 느끼면, 당신은 걸릴 수 있습니다소급적잘못된 형식이나 알 수 없는 요청을 보내는 IP 차단/금지(iptables, fall2ban 등 사용)와 같은 조치를 취합니다.

개인적으로 나는 "불량" IP를 블랙리스트에 올리는 것은 그다지 가치가 없다는 입장을 취합니다. 로그 파일에서 해당 IP의 흔적을 볼 때쯤에는 IP가 취약하지 않다는 것을 알게 되었거나 이미 해킹당했기 때문입니다. 나는 믿는다더 나은 접근 방식은 적극적으로 행동하는 것입니다보안:

  • 서버 소프트웨어를 완전히 패치하고 최신 상태로 유지하십시오. 언제나. 까다롭게. 종교적으로.

  • 공격 프로필을 가능한 한 작게 유지하십시오. 서버에 불필요한 소프트웨어를 설치/실행하지 마십시오. 그리고,오컴의 윌리엄"사용자 계정을 불필요하게 늘리지 마십시오."라고 말한 적이 있습니다.

  • 서버를 방화벽하세요. (아니면 하지 마세요, 하지만 당신이 무엇을 하고 있는지 알아두세요.)

  • 다음과 같은 침입 탐지 시스템을 실행하십시오.보좌관,OSSEC, 또는삼하인. 이렇게 하면 시스템 파일이 예기치 않게 변경될 때 경고가 표시되며, 이는 종종 서버가 손상되었다는 정보를 제공합니다.

  • 다음과 같은 시스템 모니터링/그래프 소프트웨어 실행무닌,선인장,수집하다또는 그런 것. 정기적으로 그래프를 관찰하여 일반적인 시스템 로드가 어떤지, 일반적인 추세는 어떤지 파악하세요. 그런 다음 그래프에 이전에 본 적이 없는 내용이 표시되면 추가 조사를 하게 됩니다.

  • 다음과 같은 웹 로그 분석기/그래퍼를 실행하세요.웨발라이저또는끔찍한. 다시 한 번 말씀드리지만, 정상적인 작업이 어떤 모습인지 숙지하여 상황이 정상적이지 않은 경우 빠르게 인식할 수 있습니다.

  • 별도의 로그 서버를 실행하고(바람직하게는 아무것도 실행하지 않고 보안이 강화된 최소한의 시스템에서) 로그를 보내도록 서버를 구성합니다. 이는 침입자가 자신의 흔적을 가리는 것을 훨씬 더 어렵게 만듭니다.

답변2

어떤 종류의 서버를 운영하고 있나요? 아파치?

IIS 공격처럼 보입니다....Code Red/NIMDA

답변3

공개적으로 액세스 가능한 모든 웹 서버는 하루 종일 이와 같은 요청을 받습니다. 그들은 단지 귀하의 서버에 대해 알려진 악용을 맹목적으로 시도하고 있을 뿐입니다. 내가 자주 하는 일은 웹 서버가 IP에 대한 요청을 받을 때 빈 페이지를 표시하도록 구성하는 것입니다(예:http://10.0.0.1). 올바른 가상 호스트 도메인이 요청될 때만 사이트가 표시되도록 허용합니다.

도메인 이름 대신 IP로 웹 서버에 접속하면 어떤 사이트가 나타나는지 확인하세요. netter-tubes를 크롤링하는 대부분의 익스플로잇 스크립트는 유효한 가상 호스트 요청(적절한 가상 호스트 헤더)을 수행하지 않습니다.

또한 악의적인 요청을 시도하는 IP 주소를 자동으로 차단하는 다양한 유틸리티를 살펴볼 수도 있습니다.

답변4

해당 IP 주소가 외부 주소가 아니라 자신의 IP 주소라고 가정하면 이는 단순히 웹 앱 로깅 정크일 수 있습니다.

이는 UTF8로 PHP 로깅 데이터를 본 다음 나중에 ASCII로 인코딩/이스케이프되어 매우 유사해 보이는 메시지를 설명했던 상황을 생각나게 합니다.

관련 정보