LogWatchによって報告される可能性のある^ null $の脆弱性は何ですか？

Question

LogWatchは、Linuxのログファイルに関する日々のレポートを提供する優れたツールです。トラフィック、ログインしたユーザ、sudoを使用した人、関連するカーネルメッセージ、サーバを調査したIP、Apacheを調査した検索エンジンなど、いくつかの情報サマリが含まれています...

セクションには、あなたのサーバーをハッキングしようとする試みを知られています。彼らは必ずしも成功するとは限りませんでしたが、とにかく知識のためにレポートに掲載されています。これは見た目です。

Attempts to use known hacks by 4 hosts were logged 4 time(s) from: 
    187.13.156.179: 1 Time(s) 
     ^null$ 1 Time(s) 
    187.60.121.62: 1 Time(s) 
     ^null$ 1 Time(s) 
    189.123.240.18: 1 Time(s) 
     ^null$ 1 Time(s) 
    189.70.214.124: 1 Time(s) 
     ^null$ 1 Time(s) 

私の質問は、まさにこの^null$攻撃で何ですか？私はこれをグーグルで試しましたが、関連するものは何も表示されないようです。

Answer 1

これは通常、実際の攻撃ではないことを心配するものではありません。 ^null$「攻撃」は、単にHTTPリクエストを送信せずに終了するクライアント接続です（つまり、Webサーバーに接続が確立されていますが、リクエストは受信されません）。

1つのIPから複数のIPアドレスを試した場合、または1つのIPアドレスで^null$個のエントリを複数試行した場合は、一致した試行の証拠がある可能性があります。そのままで、上記の例のログは無視しても問題ありません。

Answer 2

それはプロービングHeartbleedはlogwatchのから、このような警告に変換ことに注意することは興味深いです：

Attempts to use known hacks by 1 hosts were logged 1 time(s) from: 54.82.203.167: 1 Time(s) ^null$ 1 Time(s)

対応するApacheのSSLログエントリは次のとおりです。

（ http://filippo.io/Heartbleed/を使用して）

XXXXXX:443 54.82.203.167 - - [10/Apr/2014:00:19:45 +0200] "quit" 301 1313 "-" "-"

Answer 3

いくつかのタイプのモニートリングサービスはこれもオフにします。例uptimerobot.comのために： 74.86.158.106：10台のホストが知られているハックを使用する

試みから107時間（s）記録された91時間（s）を ^ヌル$ 91時間（s）

"GET/HTTP/1.1" 200 17896 " - " "Mozilla/5.0 +（互換性、UptimeRobot/2.0; http://www.uptimerobot.com/）"

「GET/HTTP/1.1」と「2015：01：09：54 -0500」

74.86.158.106 - - [09/Feb/2015：01：10：47 -0500] "HEAD/HTTP/1.1" 200 - " - " "Mozilla/5.0 +（互換性、UptimeRobot/2.0; http://www.uptimerobot.com/）"

Certフェイルオーバー・アプリケーションのタイプによっては、ハートビートやldirectord（構成に応じて）などのオフライン・アプリケーションも同様にオフに設定される可能性があります。