今天查看http 日志,发现可疑访问。
85.17.155.196 - - [24/Oct/2013:23:17:38 +0800] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 629 "-" "ZmEu"
85.17.155.196 - - [24/Oct/2013:23:17:39 +0800] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 616 "-" "ZmEu"
85.17.155.196 - - [24/Oct/2013:23:17:40 +0800] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 616 "-" "ZmEu"
85.17.155.196 - - [24/Oct/2013:23:17:41 +0800] "GET /pma/scripts/setup.php HTTP/1.1" 404 609 "-" "ZmEu"
85.17.155.196 - - [24/Oct/2013:23:17:41 +0800] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 613 "-" "ZmEu"
85.17.155.196 - - [24/Oct/2013:23:17:42 +0800] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 613 "-" "ZmEu"
前面的header直接就是ZmEu,后面知道修改header了:
193.242.149.35 - - [25/Oct/2013:04:11:15 +0800] "GET /admin.php HTTP/1.0" 404 0 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
193.242.149.35 - - [25/Oct/2013:04:11:15 +0800] "GET /administrator/index.php HTTP/1.0" 404 0 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
193.242.149.35 - - [25/Oct/2013:04:11:16 +0800] "GET /wp-login.php HTTP/1.0" 404 0 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"
很显然是针对phpmyadmin和wordpress的,或者PHP的。
现在在VPS上安装这两个应该的也是非常之多的。而且大都不会去删除setup.php之类的文件.对于扫描完了,后面用什么招攻击就不太清楚了,估计是外面有这两个程序或者PHP的ODay流传。对于hack行为,真的是防不胜防呀。反正服务器安装的程序越多,开放的端口越多,风险越高。
网上有防治方案,点这里, 原理主要是配置服务器根据正则匹配到”ZmEu”,然后限制该IP的访问。
我觉得这样防治的意义并不大,首先,访问header里面的ZmEu是可以修改的,然后即使别人不修改,但如果手上肉鸡多,到来扫一下,或者直接发起DDos攻击。这样也是防不住的。
最主要的还是关注行业动态,发现哪些程序有漏洞,第一时间打补丁。