Что это за странные запросы доступа?

9

Я использовал WAMPServer на своем компьютере для тестирования и разработки. Я забыл и оставил его в сети на несколько дней, и я заметил несколько случайных запросов, которые даже не с моего IP. Вот несколько примеров. 

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Многие из них принадлежат этому IP 58.218.199.250.

Другой IP-адрес, который я заметил, пытался получить доступ к моему менеджеру баз данных.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

И это все, что делал этот IP. Ну, он вернул 404, так как разрешения только локальные. И, конечно, все эти IP-адреса из Бразилии, Китая и России ... Должен ли я беспокоиться об этих случайных запросах или это нормально? Это боты или сканеры?

apache-2.2  web-server  request 
Джек
источник

Ответы:

16

Все совершенно нормально и ожидаемо на любом публичном сервере. То, что вы видите, является результатом стандартной скриптовой попытки получить доступ к вашей системе, используя известные слабые места. Нередко можно увидеть сотни или даже тысячи таких запросов из одного источника в течение одного дня.

Это отличная иллюстрация того, почему важно убедиться, что программное обеспечение обновлено и заблокировано настолько, насколько это практически возможно. Кроме того, убедитесь, что вы используете надежные пароли. Когда подходящая точка доступа найдена, вы можете наблюдать за попытками доступа к вашим учетным записям, обычно начиная с простых атак по словарю.

Джон Гарденье
источник
Как сделать лог-файлы более многословными?
Макс Мустер
4

Я постоянно получаю такие журналы на своем сервере. И поскольку я человек, который ненавидит попытки взлома и проникновения, я обычно сообщаю об этих атаках проникновения в группу реагирования на компьютерные инциденты в США по адресу http://www.us-cert.gov . Конечно, я могу оценить эти атаки как человека, который учится на «эксперта по безопасности», но они могут экспериментировать в своей собственной сети, а не на моем сервере.

Обычно я запускаю IP-адрес через веб-сайты, перечисленные здесь http://www.iana.org/numbers .

Это дает мне бизнес-информацию интернет-провайдера и электронное письмо со стороны хакеров. Я отправляю им копию моих журналов, номер подтверждения из моего отчета в US-CERT и любезную записку, чтобы сообщить им, что я сообщаю об этом инциденте. В течение многих лет это было почти на 100% эффективно, чтобы остановить спам, используя IP-адрес из информации заголовка спама.

Кроме того, я также создаю специальную строку кода для моего сервера, запрещающую весь трафик этого провайдера.

На моем сервере я набираю «deny from xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx» или «deny from» location.location.ru », где« x »или« location.location.ru »является началом и Конечный спектр IP для этого интернет-провайдера (разделенный пробелом - без кавычек - просмотрите документацию серверов о запрете или блокировке IP-адресов). Спектр адресов интернет-провайдера можно найти в верхней части информации о интернет-провайдере, указанной на веб-сайтах IANA (поиск WHOIS).

Это заблокирует ВСЕ трафик от этого провайдера. Осторожный! Поскольку это радикальный шаг, эта процедура может блокировать десятки тысяч потенциальных обращений, исходящих от этого провайдера, но я нахожусь в Соединенных Штатах и ​​обслуживаю свои страницы локально, поэтому трафик из Китая или России ничего не значит. мне. Я не против заблокировать половину Гонконга или Праги на некоторых моих сайтах.

Удачи, надеюсь, эта информация полезна. Всегда используйте хорошую защиту :)

гость
источник
2
Я полагаю, что такой подход стал бы немного громоздким в больших масштабах.
Кэтрин Вилляр
3

Это попытки взлома (по крайней мере, попытки доступа к БД). Это нормально, чтобы получить такой тип запросов. Важным моментом является защита вашей базы данных и любых других важных файлов от таких попыток.

Халед
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.