Quali sono queste strane richieste di accesso?


9

Uso WAMPServer sul mio computer per test e sviluppo. Ho dimenticato e lasciato online per alcuni giorni e noto un sacco di richieste casuali che non provengono nemmeno dal mio IP. Ecco alcuni esempi.

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Molti di questi provengono da questo IP 58.218.199.250.

Un altro IP che ho notato sta provando ad accedere al mio gestore database.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

E questo è tutto ciò che stava facendo questo IP. Bene ha restituito un 404 poiché le autorizzazioni sono solo locali. E ovviamente tutti questi IP provengono da Brasile, Cina e Russia ... Dovrei essere preoccupato per queste richieste casuali o è normale? Sono robot o crawler?

Risposte:


16

Tutto perfettamente normale e previsto su qualsiasi server pubblico. Quello che vedi sono i risultati di un tentativo di script standard per ottenere l'accesso al tuo sistema usando punti deboli noti. Non è insolito vedere centinaia o addirittura migliaia di tali richieste da un'unica fonte in un solo giorno.

È un'eccellente illustrazione del perché è importante assicurarsi che il software sia aggiornato e bloccato quanto più pratico. Inoltre, assicurati di utilizzare password complesse. Una volta individuato un punto di accesso adeguato, puoi guardare i tentativi di accedere ai tuoi account, iniziando normalmente con semplici attacchi da dizionario.


come si possono rendere i file di registro più dettagliati?
Max Muster,

4

Ricevo sempre questo tipo di log sul mio server. E, poiché sono una persona che detesta i tentativi di pirateria informatica e di penetrazione, di solito seguo segnalando questi attacchi di penetrazione al team di risposta alle emergenze informatiche degli Stati Uniti all'indirizzo http://www.us-cert.gov . Ovviamente posso apprezzare questi attacchi semplicemente come una persona che impara a diventare un "esperto di sicurezza", ma può sperimentare sulla propria rete e non sul mio server.

Di solito eseguo l'indirizzo IP attraverso i siti Web elencati qui http://www.iana.org/numbers .

Questo mi dà le informazioni commerciali dell'ISP e l'e-mail di "abuso" dall'ISP degli hacker. Mando loro una copia dei miei registri, il numero di conferma dal mio rapporto all'US-CERT e una nota gentile per far loro sapere che sto segnalando questo incidente. Per anni, questo è stato quasi efficace al 100% per fermare lo SPAM usando l'indirizzo IP dalle informazioni dell'intestazione dello spam.

Inoltre, creo anche una riga di codice specifica per il mio server che nega tutto il traffico proveniente da quell'ISP.

Sul mio server digito "nega da xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" o "nega da" location.location.ru "dove" x "o" location.location.ru "è l'inizio e spettro IP finale per quel provider di servizi Internet (separato da uno spazio - senza virgolette - rivedere la documentazione del server in merito alla negazione o al blocco degli IP). È possibile trovare uno spettro di indirizzi ISP nella parte superiore delle informazioni ISP elencate sui siti Web IANA (Ricerca WHOIS).

Ciò bloccherà TUTTO il traffico proveniente da quell'ISP. ! attento Trattandosi di una mossa radicale, questa procedura può bloccare decine di migliaia di potenziali hit provenienti dall'ISP, ma, per quanto mi riguarda, sono negli Stati Uniti e servo le mie pagine localmente, quindi il traffico dalla Cina o dalla Russia non significa nulla per me. Non mi dispiace bloccare metà di Hong Kong o Praga su alcuni dei miei siti Web.

Buona fortuna, spero che queste informazioni siano utili. Usa sempre una buona protezione :)


2
Immagino che questo approccio diventi un po 'ingombrante su larga scala.
Katherine Villyard,

3

Questi sono tentativi di rottura (almeno le prove di accesso al DB). È normale ricevere questo tipo di richieste. Il punto importante è assicurarsi che il database e tutti gli altri file importanti siano protetti da tali tentativi.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.