Есть внутренний сайт на debian wheezy в корпоративной локалке, к нему есть доступ снаружи только через 80-й порт.
Из-за ошибки в конфигурации долгое время наружу так же была оттопырена вебморда phpmyadmin.
в логах множество записей вида:
198.204.250.82 - - [03/Dec/2013:04:39:04 +0400] "GET //admin/phpmyadmin/index.php HTTP/1.1" 404 537 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:06 +0400] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 545 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:10 +0400] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 545 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:11 +0400] "GET //phpmyadmin1/index.php HTTP/1.1" 404 532 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:11 +0400] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 403 543 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:12 +0400] "GET //phpmyadmin1/scripts/setup.php HTTP/1.1" 404 540 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:12 +0400] "GET //phpmyadmin2/scripts/setup.php HTTP/1.1" 404 540 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:14 +0400] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 545 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:21 +0400] "GET //phpmyadmin2/index.php HTTP/1.1" 404 532 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:23 +0400] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 403 543 "-" "-"
198.204.250.82 - - [03/Dec/2013:04:39:26 +0400] "GET //phpmyadmin/ HTTP/1.1" 403 526 "-" "-"
с разных ip. Побаиваюсь, что какому-нибудь китайцу удалось таки чего-нибудь поломать.
Как проверить cервер на наличие взлома, куда смотреть?
Или это паранойя?
