主页 / server / 问题 / 727827
Accepted
Froggiz
Asked: 2015-10-10 01:31:41 +0800 CST

Apache 2.4 异常日志

  • 772

从某些天开始,我尝试了一些黑客攻击,但实际上一切似乎都很好。

但我看到了一些我无法解释的日志:

127.0.0.1:443 216.218.206.66 - - [09/Oct/2015:04:49:29 +0200] "GET / HTTP/1.1" 404 4857 "-" "-"
127.0.0.1:80 220.181.108.177 - - [09/Oct/2015:07:56:11 +0200] "-" 408 0 "-" "-"
127.0.0.1:443 199.115.117.88 - - [09/Oct/2015:10:35:04 +0200] "GET /admin/i18n/readme.txt HTTP/1.1" 404 5081 "-" "python-requests/2.8.0"

这是我的日志配置:

# - Exeption
SetEnvIf Request_URI "\.jpg$|\.jpeg$|\.gif$|\.png$|\.ico|\.icon|\.css$|\.js$|piwik\.php$|frogglogin\.php" dontlog
SetEnvIf User-agent "(bot|baidu)" dontlog

CustomLog ${APACHE_LOG_DIR}/access.log vhost_combined env=!dontlog
  • 怎么可能请求到达 127.0.0.1 ?
  • 我该怎么做才能防止 408 错误?
  • 我应该惊慌失措地看到这种攻击来袭吗?

谢谢

PS:

这是一个好主意吗 ?

<VirtualHost 127.0.0.1>
# [ Default restriction ]
<Directory />
    Order deny,allow
    Deny from all
    allow from 127.0.0.1
</Directory>
</VirtualHost>
security

2 个回答

  1. 公共 IP 地址无法直接到达您的环回地址。这是 NAT 的问题,apache 可能会将这些 IP 地址转换为环回,因为您要么告诉 apache 这样做,要么配置错误。

    对于这样的事情没有恐慌,被僵尸网络和/或旨在尝试登录页面等的自动化应用程序攻击是正常的。

    当此尝试正在进行时,我宁愿检查:

      netstat -an (or adding additional parameters)

    检查连接。

    • 1
  2. Best Answer

    这就是我如何解决这个问题:

    我在所有定义的虚拟主机之后添加了这个配置,以捕获“else”请求(与任何其他虚拟主机都不匹配的请求)。最重要的是虚拟位置(最后一个)和命令ServerAlias *

    #---------------#
# [ LOCALHOST ] #
#---------------#
# Local host for other:
# ServerName localhost
# ServerName 88.xxx.xxx.xxx
# ServerName xxxxxxxx.net
# and more ...
# need to be at the last position
<VirtualHost *:80 *:443>
# [ Server Domain ]
ServerName localhost
ServerAlias *
# [ Server Root ]
DocumentRoot /var/www/home/
# [ Cancel trafic ]
RewriteCond %{REQUEST_URI} !errors\/hack\.htm
RewriteRule .*? - [END,R=406]
# [ Custom Log ]
CustomLog ${APACHE_LOG_DIR}/hack.log combined
</VirtualHost>
    • 0

相关问题