access.log 的奇怪訊息應該是甚麼 - Linux

※ 引述《banqhsia (BEN)》之銘言：
: ※ 引述《lottemarines (一平)》之銘言：
: : 小弟的主機最近都經常會突然出現大量的apache 行程
: : 導致系統負荷破兩百以上，就算關掉再開也是一樣
: : 不過經過一段時間後就會消失
: : 我去看apache的access.log檔發現經常出現以下ip的內容
: : 61.227.66.81 - - [22/Mar/2009:07:05:45 +0800]
: : "\x055h\xc1K\xdfZ\xdc.\x0c^$\x10\xefF\xae\xde\x8b\xee\xa5\xda\xccKUZ\x85\x9b
: : \xf5]\x11Z\xf6\x96+&\x85y3\xe3\xad\xca\xd7\x8c\xda\xc5?M\xf1N"
: : 400 362 "-" "-"
: : 請問這代表什麼意思，我是不是應該把這個ip給封鎖住呢？

這是botnet發動漫無目標的攻擊，封IP是沒用的，因為botnet很龐大

1.請找找這些攻擊的log，有沒有200？
目前看這幾條貼出來的都是400 501，應該都沒問題
如果有200的話，可能要好好仔細檢查一下被種了什麼東西...

2.保持apache在最新的狀態(至少要有點新啦)

3.注意看的話這些攻擊都沒有HTTP HEADER

所以可以使用 mod_security
http://www.modsecurity.org/

SecRule REQUEST_METHOD "!^(?:GET|HEAD|OPTIONS|POST|CONNECT)$"




--
好棒喔我好喜歡吹豎笛我練呀練呀每天都在苦練可是完全沒有進步唉

--