Logwatch httpd -httpd黑客和探针

Question

有时，在我的每日日志观察报告中，我注意到httpd下面有一个“试图使用已知的黑客.”的部分。另一节是关于有多少个站点探测到服务器。关于这些部分，我有几个问题：

1. apache或logwatch是否会收集已知黑客的信息并进行报告？哪个程序知道它是已知的黑客？这些程序中是否有某个位置或参考点用于其已知攻击列表？
2. 日志观察是否能够报告攻击是否成功，或者我是否需要一个单独的软件来获取这些信息？
3. 当logwatch报告x个站点探测服务器时，到底意味着什么？是端口扫描吗？漏洞扫描？指纹？是apache将此报告给日志文件，还是logwatch正在分析日志文件并将其计算出来？

Answer 1

1. 它是日志表，它知道一些著名的黑客。这些都是硬编码成日志表。检查services/http文件中以my @exploits开头的行。您将看到，这些只是一些非常简单的模式，它们被检测到。
2. 如果the服务器没有响应错误状态，logwatch认为黑客攻击成功。
3. 这与端口扫描类似--如果您的your服务器易受攻击，请检查某个人或某些软件。

就我个人而言，我不会太在意那份报告。