网络服务器日志显示有人试图入侵我的网站,我该怎么办?

信息安全 网络服务器 事件响应
2021-09-03 19:09:40

看起来有人试图入侵我的网站。以下来自我的 IIS 日志文件:

#Software: Microsoft Internet Information Services 7.5
#Version: 1.0
#Date: 2011-07-03 00:02:39
#Fields: date time s-sitename cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
2011-07-03 18:29:05 W3SVC111 GET /V20xRmRRPT0K - 80 - 83.140.8.18 - 302 0 0 458 145 786
2011-07-03 18:29:06 W3SVC111 GET /scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 468 151 617
2011-07-03 18:29:06 W3SVC111 GET /admin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 132
2011-07-03 18:29:08 W3SVC111 GET /admin/pma/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 161 2407
2011-07-03 18:29:08 W3SVC111 GET /admin/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 181
2011-07-03 18:29:08 W3SVC111 GET /db/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 474 154 259
2011-07-03 18:29:09 W3SVC111 GET /dbadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 371
2011-07-03 18:29:09 W3SVC111 GET /myadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 357
2011-07-03 18:29:09 W3SVC111 GET /mysql/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 197
2011-07-03 18:29:10 W3SVC111 GET /mysqladmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 310
2011-07-03 18:29:10 W3SVC111 GET /typo3/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 103
2011-07-03 18:29:10 W3SVC111 GET /phpadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 486 160 56
2011-07-03 18:29:10 W3SVC111 GET /phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 139
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 87
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin1/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 51
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin2/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 98
2011-07-03 18:29:10 W3SVC111 GET /pma/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 476 155 55
2011-07-03 18:29:10 W3SVC111 GET /web/phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 166 53
2011-07-03 18:29:10 W3SVC111 GET /xampp/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 52

我该怎么办?我应该带着它去警察局吗?欢迎任何好的建议。

4个回答

我建议忽略它,这不值得麻烦。那里有太多受感染的机器。

如果您手头有太多时间,您可以对 ip-​​address进行whois 查询。然后联系 ISP,告诉他们他们有一个受感染的客户。要联系的电子邮件地址通常是“abuse@”域。

在这种情况下whois 83.140.8.18,甚至会返回一条评论说:

如有滥用,请发送邮件至滥用 (at) rixtelecom.se

我不会费心带着它去警察局。这是对您的 IP 的常见扫描,这发生在大多数面向公众的 IP 上。

正如 Hendrik Brummermann 所说,将 IP 报告给 ISP 的滥用部门是值得的。

您还可以通过从该 IP 添加到 /dev/null 的路由或在防火墙中阻止它来阻止该 IP。

如大家所说,联系用户ISP。

您还可以使用有关此特定攻击的知识来加强安全性并调整防火墙规则。比如通过唯一IP限制对同一页面的请求数量等等。google 上的许多示例应该可以帮助您确定最适合您的示例。

这应该可以解决未来的攻击并降低使用的带宽。

我在这里没有看到任何非法的东西。如果您想报告所有查询不存在路径的人,那么您将来会很忙。

他的 ISP 会嘲笑你。

其它你可能感兴趣的问题
上一篇Web 应用程序是否应该返回真正的 http 错误? 下一篇iPhone Tracking 崩溃——风险与对策