今日logwatchからのメールを見てみると,httpdのところが以下のような感じになってました.(一部変更しています)
--------------------- httpd Begin ------------------------
A total of 3 sites probed the server
119.63.AAA.BBB
119.63.AAA.CCC
119.63.AAA.DDD
A total of 2 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):
/?tag=\xe7\xa9\xba\xe3\x81\x8d\xe5\xae\xb9\xe9\x87\x8f HTTP Response 200
/?feed=rss2&tag=\xe9\x81\x94\xe6\x88\x90 HTTP Response 200
A total of 3 sites probed the server ... 3つのサイトがこのサーバを調べて,
A total of 2 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit): ... 2つの成功した調査が発見されました.(次のURLはエクスプロイトを含んでいる.)
まぁこんなニュアンスだろうな.詳しくは分かんない.
不正アクセスかなと思って調べてみると,119.63.AAA.BBBは百度みたいです.
\xe7\xa9\xba\xe3\x81\x8d\xe5\xae\xb9\xe9\x87\x8f
の"\x"を"%"に置き換えて
%e7%a9%ba%e3%81%8d%e5%ae%b9%e9%87%8f
URLデコードしてみると,
空き容量
まあ"空き容量"ていうタグは実際にあるので,いいんだけど,エクスプロイトとか言われてわざわざlogwatchに残るのも鬱陶しいんで,百度からのアクセスを拒否してみることにしました.
ルート直下にrobots.txtを作って,以下のように,書き込めばいいみたいです.
[bash]
User-agent: baiduspider
Disallow: /
User-agent: baiduspider+
Disallow: /
User-agent: baiduimagespider
Disallow: /
User-agent: baidumobaider
Disallow: /
[/bash]
あとはちょっと様子を見てみようかな.
参考:
http://www.cman.jp/network/support/ip.html
http://www.tagindex.com/tool/url.html
http://www.myhome-server.com/centos/baiduspider.html