Jorek Skrevet 25. mai 2006 Del Skrevet 25. mai 2006 Hei. Jeg kjører en webserver(Apache, PHP på en Slackware boks) her hjemme, og i den siste tiden har det vært noe litt "underfundig" aktivitet ser jeg i loggen. Blandt annet så finner jeg slike linjer i access.log; "GET http://check.xxx.xxx.xxx.xxx.v.80.pdx8.super.proxy.scanner.ii.9966.org/Provy_OK.html HTTP/1.1" 404 295 X'ene er byttet ut med min IP. Har googla litt, men har kun funnet litt info. Er jeg allerede infisert, eller er det vanlig å få noen sånne linjer i loggen? Og slike: "POST /xmlrpc.php HTTP/1.1" 404 292 ";exit;/*</name></value></param></params></methodCall>" 501 - Denne har jeg skjønt at det er bare et program som scanner random servere etter xmlrpc.php, siden det er et gammelt sikkerhetshull. Jeg har ikke noe xmlrpc.php på maskinen, så da har jeg vel ikke noe å bekymre meg for. Hmm, jeg liker ikke dette... Noen som vet om noen måter å unngå det? Boksen er svarer ikke på ICMP request fra nettet, så jeg lurer på hvordan de "finner" meg. P.S Kanskje litt feilpost, men jeg vet at mange av dere linux-guruer som vanker på denne delen av forumet har mye erfaring med serverdrifting på linuxbokser. Lenke til kommentar
xeon Skrevet 25. mai 2006 Del Skrevet 25. mai 2006 Ikke så mye å bekymre seg for vil jeg tro. De fleste får vel sånne ting.. Bare å sørge for at sw er oppdatert og ikke feilkonfigurert så pleier det å gå bra Lenke til kommentar
stigfjel Skrevet 25. mai 2006 Del Skrevet 25. mai 2006 Loggene på brannmuren min er fulle av folk som har prøvd å komme seg inn på den. De har ikke klart det, så det er ikke så farlig. Bare config'en er riktig satt opp, og maskinen er patchet opp, har du lite å frykte. Lenke til kommentar
kyrsjo Skrevet 25. mai 2006 Del Skrevet 25. mai 2006 Var en IIS-kjørende maskin som prøvde å bre en orm til apache-serveren min en gang. Sporet opp personens ip og videre til ISP (telenor), noe som førte til at bedriften ble kicka av nettet to ganger i løpet av en uke (det første serveren gjorde etter at den hadde blitt koplet opp igjen, var å prøve å sende den samme ormen til meg på nytt.)... Ellers så var fyren jeg pratet med hos telenor hyggelig, og tydelig kunnskapsrik innen unix. Lenke til kommentar
x-ray-cat Skrevet 25. mai 2006 Del Skrevet 25. mai 2006 Var en IIS-kjørende maskin som prøvde å bre en orm til apache-serveren min en gang. Sporet opp personens ip og videre til ISP (telenor), noe som førte til at bedriften ble kicka av nettet to ganger i løpet av en uke (det første serveren gjorde etter at den hadde blitt koplet opp igjen, var å prøve å sende den samme ormen til meg på nytt.)... Ellers så var fyren jeg pratet med hos telenor hyggelig, og tydelig kunnskapsrik innen unix. 6175375[/snapback] Var det en person/bedrift som prøvde å hacke boksen din? Eller var det en virus så lå på denne boksen som prøvde å gjøre dette uten eier av boksen sin viten? Lenke til kommentar
kyrsjo Skrevet 27. mai 2006 Del Skrevet 27. mai 2006 Var en IIS-kjørende maskin som prøvde å bre en orm til apache-serveren min en gang. Sporet opp personens ip og videre til ISP (telenor), noe som førte til at bedriften ble kicka av nettet to ganger i løpet av en uke (det første serveren gjorde etter at den hadde blitt koplet opp igjen, var å prøve å sende den samme ormen til meg på nytt.)... Ellers så var fyren jeg pratet med hos telenor hyggelig, og tydelig kunnskapsrik innen unix. 6175375[/snapback] Var det en person/bedrift som prøvde å hacke boksen din? Eller var det en virus så lå på denne boksen som prøvde å gjøre dette uten eier av boksen sin viten? 6179691[/snapback] Var et virus på boksen, som de tydelig ikke hadde greid å fjerne, ettersom det første den gjorde når den var koplet opp igjen var å hamre løs på boksen min... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå