有时在我的每日 logwatch 报告中,我注意到在 httpd 下有一个部分用于“尝试使用已知的 hacks...”,另一个部分关于有多少站点探测了服务器。我对这些部分有几个问题:
- apache 或 logwatch 是收集和报告已知黑客攻击的工具吗?哪个程序实际上知道它是一个已知的 hack?这些程序之一是否将某个位置或参考点用于其已知攻击列表?
- logwatch 是否能够报告攻击是否成功,或者我是否需要一个单独的软件来获取它?
- 当 logwatch 报告 x 数量的站点探测了服务器时,这到底意味着什么?是端口扫描吗?漏洞扫描?指纹识别?是 apache 向日志文件报告这个,还是 logwatch 分析日志文件并弄清楚?
services/http中以 开头的行my @exploits。您会看到这些只是检测到的一些非常简单的模式。就个人而言,我不会过多关注该报告。