ดูใน /var/log/syslog พบว่ามีคนพยามจะ hack เซิร์ฟผมรึเปล่าครับ (มี log มาให้ดู)

ผมวางเครื่องเองเป็น web server อ่ะครับ ubuntu8.10

แล้วก็ดูใน /var/log/syslog พบ ว่ามี ip แปลกๆพยามจะต่อเข้ามา แต่ผมไม่รู้ว่ามันคืออะไร มันจะทำอะไร ใครรู้ช่วยบอกทีครับ

มีทุกๆ ประมาณ 5-10 นาที มาชุดละ 20-50 บรรทัด ip กับ port ก็เปลี่ยนไปเรื่อยๆ

Dec 26 06:38:45 ubuntu_intrepid nss-mysql[6759]: client 194.146.XX.XX#16233: query (cache) 'www.SOMEDOMAIN.com/MX/IN' denied
Dec 27 04:26:57 ubuntu_intrepid named[6759]: client 65.55.XX.XX#31497: query (cache) 'www.SOMEDOMAIN.com/A/IN' denied

( pid 6759 คือ /usr/sbin/named -u bind )


อีกอันครับ อันนี้ก็ไม่รู้ว่ามันคืออะไรครับ

Dec 27 04:21:05 ubuntu_intrepid jsvc.exec[7390]: 
Dec 27, 2008 4:21:05 AM org.apache.coyote.http11.Http11Protocol start INFO: Starting Coyote HTTP/1.1 on http-8080

Dec 27 04:21:05 ubuntu_intrepid jsvc.exec[7390]: Dec 27, 2008 4:21:05 AM org.apache.jk.common.ChannelSocket init INFO: JK: ajp13 listening on /0.0.0.0:8009

Dec 27 04:21:05 ubuntu_intrepid jsvc.exec[7390]: Dec 27, 2008 4:21:05 AM org.apache.jk.server.JkMain start INFO: Jk running ID=0 time=0/14

อันบน ปกติครับ
มี request nameserver เข้ามา แต่ไม่ได้รับอนุญาตให้ query ก็ denied ไป

ส่วนอันล่างก็เป็น service jarkata (apache) ไรเนี่ยแหละ

แล้วอันล่างนี่ปกติไม๊ครับ เพราะดูชื่อแล้วไม่น่าไว้ใจเลย ลองค้นใน google ก็ไม่มีข้อมูลอะไรพวกนี้

Dec 27 04:21:05 ubuntu_intrepid jsvc.exec[7390]:
Dec 27, 2008 4:21:05 AM org.apache.coyote.http11.Http11Protocol start INFO: Starting Coyote HTTP/1.1 on http-8080

Dec 27 04:21:05 ubuntu_intrepid jsvc.exec[7390]: Dec 27, 2008 4:21:05 AM org.apache.jk.common.ChannelSocket init INFO: JK: ajp13 listening on /0.0.0.0:8009

Dec 27 04:21:05 ubuntu_intrepid jsvc.exec[7390]: Dec 27, 2008 4:21:05 AM org.apache.jk.server.JkMain start INFO: Jk running ID=0 time=0/14

apache tomcat น่ะครับ ไว้รัน jsp ครับ

ส่วน query นั่นทำไร
ลอง whois SOMEDOMAIN.com ดูครับว่ามันชี้ nameserver ไปที่เครื่องคุณรึเปล่า

ขอบคุณมากครับ