私のサーバーはハッキングされていますかw00tw00t.at.ISC.SANS.DFind

Question

サーバーがハッキングされたと確信しています。アクセスログにこれらのエントリが一連の500エラーメッセージの前の最後の2つとして表示されています。これはDBに関連していますが、正確なエラーはまだわかりません。私はまだそれが何を意味するのか理解しようとしています-誰かが私を助けることができます：

208.90.56.152 - - [16/Jun/2011:16:18:04 +0000] "GET / HTTP/1.1" 200 3011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 69.162.74.102 - - [16/Jun/2011:16:25:00 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 315 "-" "-"

更新

OK-さらなる調査-何らかの理由でmysqlサービスがシャットダウンされました。私はそれを再起動し、すべてが正常に見えます。データの欠落はありませんが、私はこれらの奇妙なエントリの不気味さについて本当に気分がよくありません-誰かが私のシステムの中にいるかどうかを確認するにはどうすればよいですか？

MYSQlログにこれらの行が表示されます。これは、何が起こったかをどのように理解するのですか？

Version: '5.0.77' socket: '/var/lib/mysql/mysql.sock' port: 3306 Source distribution 110616 17:34:20 [Note] /usr/libexec/mysqld: Normal shutdown 110616 17:34:20 InnoDB: Starting shutdown... 110616 17:34:21 InnoDB: Shutdown completed; log sequence number 0 2054508 110616 17:34:21 [Note] /usr/libexec/mysqld: Shutdown complete 110616 17:34:21 mysqld ended

Shane Madden · Accepted Answer

DFindスキャンは単なるスキャンであり、違反を示すものではありません。あなたが見ているなら、あなたはそれをいつも見るでしょう。こちらを参照してください。

これはMySQLの正常なシャットダウンであり、さらに調査する必要がありますが、それ自体はそれほど疑わしいものではありません。

Massimo · Answer

アクセスログのこれらの2つのエントリは心配する必要はありません。

最初のファイルは完全に問題なく（208.90.56.152の誰かがWebサイトのルートを要求してそれを取得しました）、2番目のファイルは69.162.74.102の誰かがサイトのw00tw00t.at.ISC.SANS.DFind:)というファイルにアクセスしようとしたようです...もちろん見つかりませんでした。

人々（またはボット）がWebサーバーに奇妙なことを尋ねる場合があります。これは問題ではありません。問題は、彼らがそれらを見つけられないということです:-)

kenorb · Answer

Raw AccessログのGET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1の記録は、誰かがこのフィンガープリントを持つ脆弱性スキャナーを実行していることを示しています。

このエントリ自体は、ハッキングされたことを意味するものではありません。これは、誰かがWeb脆弱性スキャナーを使用して潜在的な脆弱性についてサーバーをスキャンしていることを意味します。これらのエントリの後に、他のブルートフォースエントリ（実際のハッキングの試み）が続く場合があります。

このエントリは、メッセージを送信する必要があります。コードをきれいにしてください！ほとんどのWebサイトは、ほぼ毎日、何らかの方法で攻撃されています。最善の防御策は、ファイル、ディレクトリ、およびスクリプトをハッカーから安全に保つために何ができるかを学ぶことです。ファイルとディレクトリの権限が適切に設定されていることを確認してください。さらに重要なことは、インターネットのセキュリティで定評のある安全なスクリプトのみを使用し、少なくとも毎月1回は更新とバグ修正がないかスクリプトの親サイトを必ず確認するようにしてください。