Tenho certeza de que meu servidor foi invadido. Estou vendo essas entradas no meu log de acesso como as duas últimas antes de uma série de 500 mensagens de erro. Está relacionado ao banco de dados, mas ainda não descobri o erro exato. Eu ainda estou tentando descobrir o que isso significa - alguém pode me ajudar:
208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1"
69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"
Atualizar
OK - em uma investigação mais aprofundada - por algum motivo, o serviço mysql foi encerrado. Eu reiniciei e tudo parece normal. Nenhum dado está faltando, mas eu realmente não estou me sentindo bem sobre o fantasma dessas entradas estranhas - como posso verificar se alguém está dentro do meu sistema?
No meu log do MYSQl eu vejo essas linhas - como isso se relaciona com o que aconteceu?
Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution
110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown
110616 17:34:20 InnoDB: Starting shutdown...
110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508
110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete
110616 17:34:21 mysqld ended
A varredura DFind é apenas isso, uma varredura e não indica uma violação; você verá isso o tempo todo se estiver assistindo. Veja aqui .
Isso é um desligamento normal do MySQL, o que pode garantir mais investigação, mas não é muito suspeito por si só.
Essas duas entradas no log de acesso não são nada para se preocupar.
O primeiro está perfeitamente bem (alguém em 208.90.56.152 pediu o root do seu site e o pegou), e o segundo parece que alguém em 69.162.74.102 tentou acessar um arquivo chamado w00tw00t.at.ISC.SANS.DFind:) em seu site. e, claro, não encontrou.
Pessoas (ou bots) podem perguntar as coisas mais estranhas ao seu servidor web; isso não importa, o que importa é que eles não os encontram: -)
Um registro de GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1 nos seus registros de acesso bruto indica que alguém está executando um verificador de vulnerabilidades com essa impressão digital.
Por si só, esta entrada não significa que você tenha sido invadido. Significa apenas que alguém examinou seu servidor em busca de possíveis vulnerabilidades usando um scanner de vulnerabilidade da web. Essas entradas podem ser seguidas por outras entradas de força bruta (as tentativas reais de invasão).
Esta entrada deve enviar uma mensagem. Mantenha seu código limpo! A maioria dos sites é atacada de uma forma ou outra quase todos os dias. Sua melhor defesa é aprender o que você pode fazer para manter seus arquivos, diretórios e scripts protegidos contra hackers. Certifique-se de ter suas permissões de arquivo e diretório definidas corretamente. Ainda mais importante, use apenas scripts seguros que tenham uma boa reputação de segurança na Internet e verifique sempre que os sites pai dos seus scripts são atualizados pelo menos uma vez por mês para atualizações e correções de erros.
Relacionados:
Como outros já mencionaram, é apenas um scanner. Através de algumas dezenas de servidores, eu vi cerca de 15 variações de w00t; provavelmente algumas centenas de milhares de acessos no ano passado. Se isso te incomoda, basta adicionar uma diretiva Apache para negar conexões a qualquer cliente com uma string UserAgent w00t . Eu acompanho essas coisas, então eu deixo isso acontecer.
Tags hacking apache-2.2 centos