Apache(XAMPP 1.8.0)access.log / Intrusion Detection Concern
[元々SOに投稿しましたが、タンブルウィードバッジを獲得しました。これは質問のより良い場所のように見えます。]
Vista Pro x64でApache(XAMPP 1.8.0)を実行しています。数回、下のaccess.logの例のようなパターンを見ました。 「攻撃」に関しては、ネットワーク上のパブリックIPから有効なプライベートIPに何らかの形で移行しているようです(ルーターのWANアドレスである可能性があります)。
2つの質問:これはどのように可能ですか、そして「攻撃者」が有効なリクエストにつまずくとどうなりますか?
私はこれを無駄にグーグルで検索しました。
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.4/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.5-rc1/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.2.6/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:34 -0400] "GET /phpMyAdmin-2.5.5-rc2/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.6-rc2/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.6-rc1/index.php HTTP/1.1" 403
177.0.X.X - - [03/Jun/2012:08:19:56 -0400] "GET /phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:19:59 -0400] "GET /phpMyAdmin-2.5.7/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:20:01 -0400] "GET /phpMyAdmin-2.5.7-pl1/index.php HTTP/1.1" 403
192.168.15.3 - - [03/Jun/2012:08:20:02 -0400] "GET HTTP/1.1" 400 1060 "-" "-"
ローカルサーバーでのXAMPの構成方法と、Webトラフィックをサーバーに送信するためのルーティングの設定方法に関係する場合があります。
実際には、ボットがサーバーをスキャンして脆弱性やphpMyAdminなどの一般的なスクリプトを検出するのが一般的です。
Linuxではhosts.denyに追加し、Apacheでは.htaccessファイルでそれらを禁止できます。
攻撃が内部的なものである場合は、ルーターを確認し、ネットワーク上でそれらのIPを持っている人を確認します。