Вопросы Теги

Apache 2.4 необычные журналы

с нескольких дней я получаю некоторые попытки нападений взлома, но на самом деле все кажется прекрасным.

но я видел некоторый журнал, который я не мог объяснить:

127.0.0.1:443 216.218.206.66 - - [09/Oct/2015:04:49:29 +0200] "GET / HTTP/1.1" 404 4857 "-" "-"
127.0.0.1:80 220.181.108.177 - - [09/Oct/2015:07:56:11 +0200] "-" 408 0 "-" "-"
127.0.0.1:443 199.115.117.88 - - [09/Oct/2015:10:35:04 +0200] "GET /admin/i18n/readme.txt HTTP/1.1" 404 5081 "-" "python-requests/2.8.0"

вот моя конфигурация журнала:

# - Exeption
SetEnvIf Request_URI "\.jpg$|\.jpeg$|\.gif$|\.png$|\.ico|\.icon|\.css$|\.js$|piwik\.php$|frogglogin\.php" dontlog
SetEnvIf User-agent "(bot|baidu)" dontlog

CustomLog ${APACHE_LOG_DIR}/access.log vhost_combined env=!dontlog
  • как возможно к тем запросам достигнуть 127.0.0.1?
  • что я могу сделать для предотвращения 408 ошибок?
  • я должен запаниковать для наблюдения добрых из поступления нападений?

спасибо

PS:

действительно ли это - хорошая идея?

<VirtualHost 127.0.0.1>
# [ Default restriction ]
<Directory />
    Order deny,allow
    Deny from all
    allow from 127.0.0.1
</Directory>
</VirtualHost>
1
задан 9 October 2015 в 17:55
2 ответа

Вот как я получаю удовольствие от этого:

Я добавил эту конфигурацию после того, как все определенные виртуальные хосты были определены, чтобы перехватить запрос «else» ( запрос, который не соответствует ни одному другому виртуальному хосту). Наиболее важными являются виртуальная позиция (последняя) и команда ServerAlias ​​* 

#---------------#
# [ LOCALHOST ] #
#---------------#
# Local host for other:
# ServerName localhost
# ServerName 88.xxx.xxx.xxx
# ServerName xxxxxxxx.net
# and more ...
# need to be at the last position
<VirtualHost *:80 *:443>
# [ Server Domain ]
ServerName localhost
ServerAlias *
# [ Server Root ]
DocumentRoot /var/www/home/
# [ Cancel trafic ]
RewriteCond %{REQUEST_URI} !errors\/hack\.htm
RewriteRule .*? - [END,R=406]
# [ Custom Log ]
CustomLog ${APACHE_LOG_DIR}/hack.log combined
</VirtualHost>
0
ответ дан 3 December 2019 в 23:59

Общедоступный IP-адрес не может напрямую попасть на ваш адрес обратной связи. Речь идет о NAT, где, вероятно, apache переводит эти IP-адреса в loopback, потому что либо вы сказали apache сделать это, либо некоторая неправильная конфигурация.

Нет паники для таких вещей, это нормально, когда они атакуются ботнетами и / или автоматически приложения, предназначенные для попыток входа на страницы и т. д.

Когда эта попытка выполняется, я бы предпочел связаться с: 

  netstat -an (or adding additional parameters)

Чтобы проверить соединения.

1
ответ дан 3 December 2019 в 23:59

Теги

Похожие вопросы