Tomcat - 对我的 Web 服务器的奇怪请求泛滥 - 在 Apache tomcat localhost 日志上看到
Tomcat - Strange flood of requests to my web server - Seen on Apache tomcat localhost logs
最近几天,我注意到我的网络服务器在早上出现故障。我作为 Apache Tomcat 应用程序启动器处理,当我检查页面上的日志时,我发现以下奇怪的大量请求(查看 localhost_acces_log.2017-10-xx.txt 在 /opt/tomcat/logs):
104.210.32.159 - - [20/Oct/2017:00:56:43 -0400] "GET /phpMyAdmin/scripts.setup.php HTTP/1.1" 404 1050
104.210.32.159 - - [20/Oct/2017:00:56:47 -0400] "GET /mysql/scripts/setup.php HTTP/1.1" 404 1040
104.210.32.159 - - [20/Oct/2017:00:56:47 -0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 1036
104.210.32.159 - - [20/Oct/2017:00:56:50 -0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 1044
104.210.32.159 - - [20/Oct/2017:00:56:51 -0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1062
104.210.32.159 - - [20/Oct/2017:00:56:51 -0400] "GET /scripts/setup.php HTTP/1.1" 404 1028
104.210.32.159 - - [20/Oct/2017:00:56:51 -0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1050
222.103.136.110 - - [20/Oct/2017:01:17:52 -0400] "GET /phpMyAdmin/scripts.setup.php HTTP/1.1" 404 1050
222.103.136.110 - - [20/Oct/2017:01:17:52 -0400] "GET /mysql/scripts/setup.php HTTP/1.1" 404 1040
222.103.136.110 - - [20/Oct/2017:01:17:52 -0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 1036
222.103.136.110 - - [20/Oct/2017:01:17:53 -0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 1044
222.103.136.110 - - [20/Oct/2017:01:17:53 -0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1062
222.103.136.110 - - [20/Oct/2017:01:17:54 -0400] "GET /scripts/setup.php HTTP/1.1" 404 1028
这些信息行只是大量请求信息行的一小部分,例如这些
IP 地址来自位于中国、波兰、法国等地的服务器,这让我觉得有人在使用 vpn 发出请求。
我澄清一下,我只在我的 Web 服务器上配置了 Apache 应用程序管理器 tomcat
我认为此信息与我的网络服务器问题有关
我的问题是:
是否有人试图在我的服务器中发现漏洞以备将来攻击?有人对我的 Web 服务器进行 DDoS 攻击吗?或者这个问题是怎么回事?
在谷歌搜索了一下后,我发现在暴露于互联网的网络服务器上的这些类型的请求很常见。许多僵尸程序试图利用路由器配置中的漏洞。该请求未获取任何内容,因此返回 404 错误。
这看起来像您的 tomcat 服务器上的 ZmEu(漏洞扫描器)运行。
它是一种计算机漏洞扫描程序,可通过 phpMyAdmin 程序搜索对攻击开放的 Web 服务器。这就是为什么它试图搜索 phpMyAdmin、mysql、pma、MyAdmin、xampp 所有这些应用程序的安装文件。
您可以检查是否所有请求都返回了 404 错误(在您的情况下,这是因为您的 Web 服务器上没有安装任何其他应用程序)并且没有 200 成功消息。
为了防止此类攻击,您可以执行以下操作:
1. 使用 IPTable 阻止所有可疑 IP。
2. 每次此类攻击都会造成性能泄漏,因为必须生成并提供 404 错误页面。您可以使用以下行创建 antibot.phpfile:
<?
header("HTTP/1.1 403 Forbidden");
?>
然后将这些行添加到 Web 根目录中的 .htaccess 文件中。如果你没有,就创建它。请记住,您必须安装并加载 mod_rewrite。
RewriteEngine on
RewriteCond %{REQUEST_URI} !^antibot.php
RewriteCond %{HTTP_USER_AGENT} (.*)ZmEu(.*)
RewriteRule .* http://www.yourdomain.com/antibot.php [R=301,L]
这将以 403 错误回复所有在用户代理中包含字符串 ZmEu 的请求。所以如果你只使用这种方法,你的服务器将只阻止 ZmEu 攻击。如果您还想阻止其他用户代理,只需添加另一个 RewriteCond %{HTTP_USER_AGENT} botname_regexp 行。添加其他条件时,不要忘记在之前的 RewriteCond 末尾添加 [OR]。
您可以参考以下链接:https://security.stackexchange.com/questions/40291/strange-requests-to-web-server , https://ensourced.wordpress.com/2011/02/25/zmeu-attacks-some-basic-forensic/
最近几天,我注意到我的网络服务器在早上出现故障。我作为 Apache Tomcat 应用程序启动器处理,当我检查页面上的日志时,我发现以下奇怪的大量请求(查看 localhost_acces_log.2017-10-xx.txt 在 /opt/tomcat/logs):
104.210.32.159 - - [20/Oct/2017:00:56:43 -0400] "GET /phpMyAdmin/scripts.setup.php HTTP/1.1" 404 1050
104.210.32.159 - - [20/Oct/2017:00:56:47 -0400] "GET /mysql/scripts/setup.php HTTP/1.1" 404 1040
104.210.32.159 - - [20/Oct/2017:00:56:47 -0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 1036
104.210.32.159 - - [20/Oct/2017:00:56:50 -0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 1044
104.210.32.159 - - [20/Oct/2017:00:56:51 -0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1062
104.210.32.159 - - [20/Oct/2017:00:56:51 -0400] "GET /scripts/setup.php HTTP/1.1" 404 1028
104.210.32.159 - - [20/Oct/2017:00:56:51 -0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1050
222.103.136.110 - - [20/Oct/2017:01:17:52 -0400] "GET /phpMyAdmin/scripts.setup.php HTTP/1.1" 404 1050
222.103.136.110 - - [20/Oct/2017:01:17:52 -0400] "GET /mysql/scripts/setup.php HTTP/1.1" 404 1040
222.103.136.110 - - [20/Oct/2017:01:17:52 -0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 1036
222.103.136.110 - - [20/Oct/2017:01:17:53 -0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 1044
222.103.136.110 - - [20/Oct/2017:01:17:53 -0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 1062
222.103.136.110 - - [20/Oct/2017:01:17:54 -0400] "GET /scripts/setup.php HTTP/1.1" 404 1028
这些信息行只是大量请求信息行的一小部分,例如这些
IP 地址来自位于中国、波兰、法国等地的服务器,这让我觉得有人在使用 vpn 发出请求。
我澄清一下,我只在我的 Web 服务器上配置了 Apache 应用程序管理器 tomcat
我认为此信息与我的网络服务器问题有关
我的问题是:
是否有人试图在我的服务器中发现漏洞以备将来攻击?有人对我的 Web 服务器进行 DDoS 攻击吗?或者这个问题是怎么回事?
在谷歌搜索了一下后,我发现在暴露于互联网的网络服务器上的这些类型的请求很常见。许多僵尸程序试图利用路由器配置中的漏洞。该请求未获取任何内容,因此返回 404 错误。 这看起来像您的 tomcat 服务器上的 ZmEu(漏洞扫描器)运行。 它是一种计算机漏洞扫描程序,可通过 phpMyAdmin 程序搜索对攻击开放的 Web 服务器。这就是为什么它试图搜索 phpMyAdmin、mysql、pma、MyAdmin、xampp 所有这些应用程序的安装文件。 您可以检查是否所有请求都返回了 404 错误(在您的情况下,这是因为您的 Web 服务器上没有安装任何其他应用程序)并且没有 200 成功消息。 为了防止此类攻击,您可以执行以下操作: 1. 使用 IPTable 阻止所有可疑 IP。 2. 每次此类攻击都会造成性能泄漏,因为必须生成并提供 404 错误页面。您可以使用以下行创建 antibot.phpfile:
<?
header("HTTP/1.1 403 Forbidden");
?>
然后将这些行添加到 Web 根目录中的 .htaccess 文件中。如果你没有,就创建它。请记住,您必须安装并加载 mod_rewrite。
RewriteEngine on
RewriteCond %{REQUEST_URI} !^antibot.php
RewriteCond %{HTTP_USER_AGENT} (.*)ZmEu(.*)
RewriteRule .* http://www.yourdomain.com/antibot.php [R=301,L]
这将以 403 错误回复所有在用户代理中包含字符串 ZmEu 的请求。所以如果你只使用这种方法,你的服务器将只阻止 ZmEu 攻击。如果您还想阻止其他用户代理,只需添加另一个 RewriteCond %{HTTP_USER_AGENT} botname_regexp 行。添加其他条件时,不要忘记在之前的 RewriteCond 末尾添加 [OR]。
您可以参考以下链接:https://security.stackexchange.com/questions/40291/strange-requests-to-web-server , https://ensourced.wordpress.com/2011/02/25/zmeu-attacks-some-basic-forensic/