Eu tenho muitos pedidos estranhos no meu httpd access_log, isso significa que eu tenho um vírus?

3

Eu tenho informações de log do httpd como tais, que continuam indefinidamente. Em primeiro lugar, isso significa que eu tenho um vírus? meu servidor faz parte de uma botnet? Meu servidor é o Linux Centos 5.

tail -f /var/log/httpd/access_log

Além disso, como posso bloquear esse ataque?

Como posso ter certeza de que meu servidor não está enviando solicitações?

Quais outras medidas de segurança posso adicionar?

69.164.209.127 - - [14/Jun/2012:18:49:05 +0800] "GET http://69.164.209.127/82d8e94797c2079b53bb3d36157a699f HTTP/1.1" 404 309 "-" "Avant Browser - MSIE 7 (Win XP)|Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Avant Browser; Avant Browser; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
176.227.198.140 - - [14/Jun/2012:18:49:05 +0800] "GET http://www.google.com/search?as_q=monochrom+inurl:%3Fp%3D%2A%26option%3Dcom%5Fwordpress%26Itemid%3D%2A&num=100&hl=en&output=ie&filter=0 HTTP/1.0" 404 283 "http://www.google.com/search?as_q=monochrom+inurl:%3Fp%3D%2A%26option%3Dcom%5Fwordpress%26Itemid%3D%2A&num=100&hl=en&output=ie&filter=0" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
173.236.110.243 - - [14/Jun/2012:18:49:06 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
95.250.43.84 - - [14/Jun/2012:18:49:06 +0800] "POST http://www.alldebrid.com/api.php?action=info_user&login=zcnhaa&pw=123456789 HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)"
176.227.198.140 - - [14/Jun/2012:18:49:06 +0800] "GET http://www.google.com/search?as_q=monopsonic+%22Write+a+Comment%22+Website&num=100&hl=en&output=ie&filter=0 HTTP/1.0" 404 283 "http://www.google.com/search?as_q=monopsonic+%22Write+a+Comment%22+Website&num=100&hl=en&output=ie&filter=0" "Mozilla/4.79 [en] (Windows NT 5.0; U)"
173.236.110.243 - - [14/Jun/2012:18:49:06 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
46.4.25.139 - - [14/Jun/2012:18:49:07 +0800] "GET http://www.ebay.it/itm/-/280882450672 HTTP/1.0" 404 292 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; InfoPath.2; .NET CLR 3.5.21022; .NET CLR 3.5.30729; MS-RTC LM 8; OfficeLiveConnector.1.4; OfficeLivePatch.1.3; .NET CLR 3.0.30729)"
173.236.110.243 - - [14/Jun/2012:18:49:07 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
216.58.17.248 - - [14/Jun/2012:18:49:07 +0800] "GET http://images.google.com/ HTTP/1.1" 200 9452 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; .NET CLR 1.1.4322; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)"
173.236.110.244 - - [14/Jun/2012:18:49:07 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
173.236.110.244 - - [14/Jun/2012:18:49:07 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
173.236.110.244 - - [14/Jun/2012:18:49:09 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
173.236.110.244 - - [14/Jun/2012:18:49:09 +0800] "CONNECT evisaforms.state.gov:443 HTTP/1.1" 200 9452 "-" "-"
    
por Phil 14.06.2012 / 04:46

1 resposta

6

I have httpd log information as such which goes on and on forever. Firstly, does this mean I have a virus? is my server part of a botnet?

Não parece que você tem um vírus, nem é provável que você seja parte de um botnet. Nenhum desses casos gostaria de anunciar sua presença registrando sua atividade.

Also how can I block this attack?

Isso não é um ataque. Você parece estar executando um servidor proxy aberto. Se você não precisa de um servidor proxy em execução, desative o acesso ao proxy na sua configuração do Apache.

How can I make sure my server is not sending out requests?

Seu servidor está enviando as solicitações. Bloqueie o acesso ao proxy adicionando uma ACL às solicitações de proxy em sua configuração do Apache. Algo como isso deve permitir o acesso proxy do host local e um bloqueio de rede privada. Ajuste a última linha de permissão de acordo com suas necessidades.

<Proxy *>
    Order deny,allow
    Deny  from all
    Allow from 127.0.0.0/255.0.0.0 ::1/128
    Allow from 192.168.2.0/24
</Proxy>

What other security measures can I add?

Se você não precisar fornecer serviço da web para hosts da Internet, adicione uma ACL ao servidor Apache semelhante ao acima. Considere bloquear também as solicitações da Web recebidas com o iptables.

Se você precisar de um proxy, considere usar um proxy dedicado como squid com os controles de acesso apropriados. Você também pode criar um host virtual separado em uma porta diferente para fins de proxy. Isso deve ter controles de acesso apropriados.

    
por 14.06.2012 / 05:30