apache服务器是不是在被人攻击啊？

半斤红薯

-access.log中怎么这么多的”G" 501啊，是不是在被人攻击啊？
124.132.134.33 - - [29/Apr/2007:22:33:00 +0800] "G" 501 -
125.46.2.165 - - [29/Apr/2007:22:33:04 +0800] "G" 501 -
125.40.187.6 - - [29/Apr/2007:22:33:04 +0800] "G" 501 -
221.224.75.247 - - [29/Apr/2007:22:33:05 +0800] "G" 501 -
222.89.233.134 - - [29/Apr/2007:22:33:07 +0800] "G" 501 -
60.174.18.115 - - [29/Apr/2007:22:33:08 +0800] "G" 501 -
61.51.193.206 - - [29/Apr/2007:22:33:08 +0800] "G" 501 -
222.38.200.113 - - [29/Apr/2007:22:33:09 +0800] "G" 501 -
59.34.74.106 - - [29/Apr/2007:22:33:09 +0800] "G" 501 -
60.17.103.185 - - [29/Apr/2007:22:33:09 +0800] "G" 501 -
60.168.232.174 - - [29/Apr/2007:22:33:09 +0800] "G" 501 -
60.2.108.137 - - [29/Apr/2007:22:33:09 +0800] "G" 501 -
218.26.203.134 - - [29/Apr/2007:22:33:09 +0800] "G" 501 -
121.16.138.230 - - [29/Apr/2007:22:33:10 +0800] "G" 501 -
220.176.165.208 - - [29/Apr/2007:22:33:10 +0800] "G" 501 -
221.235.142.66 - - [29/Apr/2007:22:33:10 +0800] "G" 501 -
60.23.43.108 - - [29/Apr/2007:22:33:10 +0800] "G" 501 -
222.240.202.122 - - [29/Apr/2007:22:33:11 +0800] "G" 501 -
61.187.14.53 - - [29/Apr/2007:22:33:11 +0800] "G" 501 -
222.69.224.105 - - [29/Apr/2007:22:33:11 +0800] "G" 501 -
220.167.246.182 - - [29/Apr/2007:22:33:11 +0800] "G" 501 -
125.213.62.105 - - [29/Apr/2007:22:33:12 +0800] "G" 501 -
60.217.37.141 - - [29/Apr/2007:22:33:13 +0800] "G" 501

gogo407

　　501　 未实现（Not Implemented）
就你上面的日志来看
看不出太多的情况
你最好在apache 日志里面记录下client的get或者是访问的页面
然后看看这个页面是什么
在做判断

fertiland

可以借助相关的日志分析工具, 比如awstats。
当访问量大时，看图比看数据要直接，而且重要的数据能突出来～～

半斤红薯

呵呵，我只是猜测，看日志，发现61.187.14.53 - - [29/Apr/2007:22:33:11 +0800] "G" 501 -这样
的信息，持续了大概1个小时，从晚上10：30开始到11：20多结束，每秒钟大概3到5个信息，来源的IP不断
变化。
   个人猜测可能是写了个软件，不间断的一直访问服务器才产生这些信息的。问题是这样的量也不像是在DOS攻击呀，
想要发现服务器漏洞的话也没必须老是用老是用 这个方法呀，也该换换了，呵呵
今天查看日志，发现下面的信息才像是在做漏洞探测呀：
[Mon May  7 16:56:03 2007] [error] [client 219.144.88.249] File does not exist:
/htdocs/scripts/..À¯../winnt/system32/cmd.exe
[Mon May  7 16:56:04 2007] [error] [client 219.144.88.249] File does not exist:
/htdocs/scripts/..Á\x1c..Á\x1c..Á\x1c..Á\x1c../winnt/system32/cmd.exe
[Mon May  7 16:56:05 2007] [error] [client 219.144.88.249] File does not exist:
/htdocs/scripts/..Á\x1c../winnt/system32/cmd.exe
[Mon May  7 16:56:06 2007] [error] [client 219.144.88.249] File does not exist:
/htdocs/scripts/..Á\x9c..Á\x9c..Á\x9c..Á\x9c../winnt/system32/cmd.exe
[Mon May  7 16:56:10 2007] [error] [client 219.144.88.249] File does not exist:
/htdocs/scripts/..Á\x9f../winnt/system32/cmd.exe
[Mon May  7 16:56:11 2007] [error] [client 219.144.88.249] Invalid URI in reques
t GET /scripts/../../../../../winnt/system32/cmd.exe?/c+dir
[Mon May  7 16:56:12 2007] [error] [client 219.144.88.249] Invalid URI in reques
t GET /scripts/../../cmd.exe?/c+dir
[Mon May  7 16:56:13 2007] [error] [client 219.144.88.249] Invalid URI in reques
t GET /scripts/../../winnt/system32/cmd.exe?/c+dir
[Mon May  7 16:56:16 2007] [error] [client 219.144.88.249] File does not exist:
/htdocs/scripts/.._../winnt/system32/cmd.exe
[Mon May  7 16:56:17 2007] [error] [client 219.144.88.249] Invalid URI in reques
t GET /scripts/../../../../../winnt/system32/cmd.exe?/c+dir
[Mon May  7 16:56:18 2007] [error] [client 219.144.88.249] Invalid URI in reques
t GET /scripts/../../cmd.exe?/c+dir

   实在搞不明白上面的那一堆60.17.103.185 - - [29/Apr/2007:22:33:09 +0800] "G" 501 -
是想做啥东东，有没有遇到类似问题的兄弟呀？

半斤红薯

自己顶

atkisc

在探测。。是在攻击。。应该说是入侵。

ruochen

原帖由 半斤红薯 于 2007-5-7 18:59 发表
呵呵，我只是猜测，看日志，发现61.187.14.53 - - [29/Apr/2007:22:33:11 +0800] "G" 501 -这样
的信息，持续了大概1个小时，从晚上10：30开始到11：20多结束，每秒钟大概3到5个信息，来源的IP不断
变化。
  ...

[Mon May  7 16:56:18 2007] [error] [client 219.144.88.249] Invalid URI in reques
t GET /scripts/../../cmd.exe?/c+dir

在入侵尝试吧