Меня взломали?

Ответ 1

Это просто автоматический script, развернутый многими script Kiddies, которые ищут нарушение безопасности в вашей версии/конфигурации apache. Подпись w00tw00t обычно остается DFind.

Просто используйте такую ​​программу, как fail2ban, сконфигурированную таким образом, как этот пример объясняет, чтобы избежать наводнения этими запросами:

https://web.archive.org/web/20160617020600/http://www.userdel.com/post/18618537324/block-w00tw00t-scans-with-fail2ban

Это не обязательно означает, что вы были взломаны, но сервер был проверен на наличие уязвимостей. Однако, если вы используете какое-либо программное обеспечение, которое вы видели в этих журналах, и это более ранняя версия с известными уязвимостями, вы должны проверить свой сервер на наличие необычных файлов и действий входа.

Ответ 2

Запросы на это обычно отправляются без заголовка сервера. Просто создайте виртуальный хост по умолчанию для запросов, у которых нет ожидаемого заголовка сервера и его черное. Также интересно записывать сломанный трафик и делать обратный DNS, чтобы узнать, поступает ли он с другого веб-сервера (скомпрометирован?) И связывается с владельцем на основе базы данных whois. Вы никогда не знаете, кто запустил глупые скрипты с публично идентифицируемого сервера для сканирования уязвимостей, а затем использовал их через туннель ToR. Используйте контактную информацию о горелке, если вы не хотите привлекать внимание к себе.

Ответ 3

Чтобы следить за ответом, заданным @user823629, вот конфигурация виртуального хоста по умолчанию, которую я использую на Apache 2.4:

<VirtualHost *:80 *:443>
    # Default vhost for requests not matching IP or Host of other vhosts
    ServerName blackhole
    ErrorLog logs/error_log_blackhole
    CustomLog logs/access_log_blackhole combined
    Redirect 404 /
</VirtualHost>

Он перенаправляет все запросы на страницу 404 по умолчанию.

Я помещаю это в conf.d и даю ему имя conf.d/0_default.conf, чтобы оно было до других определений vhosts, и это виртуальный хост по умолчанию. Это можно проверить с помощью:

apachectl -t -D DUMP_VHOSTS

Другие виртуальные хосты будут соответствовать перед этим vhost, если 1) их IP-адрес и порт более явно соответствуют определению VirtualHost (виртуальный хост на базе IP) или 2) запрос содержит заголовок Host, который соответствует запросу ( виртуальный хост на основе имени). В противном случае запрос вернется к виртуальному узлу Blackhole по умолчанию, указанному выше.

Подробнее о согласовании виртуального хоста см. http://httpd.apache.org/docs/current/vhosts/details.html.

Ответ 4

Если вы фактически не используете /var/www/vhosts/default/ для размещения веб-сайта, это означает, что у вас есть запросы на хост по умолчанию, который не попадает в вашу настройку virtualhosts.

Не обращайте внимания на то, что это вредоносные запросы, потому что причиной этих ошибок vhosts/default/errors является то, что вы, вероятно, отключили SSL для виртуального хоста, и это HTTPS-запросы, попавшие в конфигурацию сервера по умолчанию.

Вы можете добавить %v %V %p в свои параметры доступа к протоколу Apache в httpd.conf, чтобы узнать больше о том, что это за запросы и какое виртуальное хост/имя сервера обрабатывает их (%v %V), и о том, какой порт (%p) запросы выполняются (обычно порт 443, если он HTTPS).

Чтобы исправить аспект HTTPS, я включил бы SSL, а затем включил RewriteRule для отправки HTTPS-запросов на HTTP (если это предполагаемое поведение). Подробнее о том, как это сделать здесь.

В противном случае, чтобы помочь с script детишками, упомянутая выше черная дыра - это путь. Просто убедитесь, что вы не ошибаетесь, отправляя законных веб-искателей/пауков, требующих HTTPS к той же галактической смерти - например, робот Googlebot тестирует законные страницы через HTTPS, так как это направление, в котором Google хочет, чтобы веб-сервер находился.