Estoy ejecutando una pila LAMP , sin phpMyAdmin (sí) instalado. Mientras hurgaba en los registros de mi servidor Apache, noté cosas como:
66.184.178.58 - - [16/Mar/2010:13:27:59 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
200.78.247.148 - - [16/Mar/2010:15:26:05 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-"
206.47.160.224 - - [16/Mar/2010:17:27:57 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:02 +0800] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 480 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:03 +0800] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 476 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:04 +0800] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 478 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:05 +0800] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 479 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:05 +0800] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 479 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:06 +0800] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 482 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
¿Qué está pasando exactamente? ¿Es realmente un intento poco convincente de piratear? ¿Debo molestarme en bloquear las direcciones IP de las que provienen, o simplemente dejarlo?
Editar: aparentemente también probaron SSH. Divertidamente no se acercaron a mi nombre. ;pag
apache-2.2
security
hacking
Journeyman Geek
fuente
fuente
Respuestas:
No gastaría el esfuerzo de tratar de lidiar con cosas como esas manualmente, pero estaría tentado a configurar algo como fail2ban si aún no lo ha hecho.
fuente
Sí, sus secuencias de comandos ejecutan secuencias de comandos de piratería estándar que buscan servidores vulnerables. Si está parcheado y tiene un cortafuegos y tiene todas las cosas habituales bloqueadas, entonces no me preocuparía demasiado por eso: obtendrá intentos de pirateo todo el tiempo.
Por supuesto, preocúpese por no ser parcheado, tener un cortafuegos adecuado y tener scripts / páginas / aplicaciones explotables ejecutándose en su servidor. Esté atento a cualquier cosa fuera de lo común y asegúrese de recibir notificaciones de actualizaciones de seguridad e instálelas.
fuente
Es solo ruido de fondo de internet. No le conviene su tiempo o energía lidiar con eso. Si no ha configurado fail2ban, debe hacerlo, pero no se necesita nada más. He visto más de 10,000 intentos como este en solo un día o dos de registros.
fuente
Veo cosas muy similares en mis registros todo el tiempo en mis registros. Mi apuesta es que es solo un escáner que probablemente rastrea gran parte de Internet en busca de agujeros conocidos para atacar.
En otras palabras, no te preocupes por eso. Solo asegúrese de que su sistema esté actualizado con sus parches.
fuente
Aquí hay un script que hice "antes" (es decir, años y años atrás) para eliminar los molestos 404 del registro de errores de Apache.
fuente
Checkout http://www.modsecurity.org/ también, puede configurarse para mitigar ataques en apache. Podría pensar en usar diferentes servidores para usuarios autenticados y no autenticados. Por lo tanto, para lanzar un ataque contra usted, el usuario principal de la aplicación web necesitaría estar completamente autenticado.
Se puede negar el acceso a los usuarios abusivos o, al menos, informarles para que limpien su máquina malwared.
fuente
Prefiero usar un enfoque diferente. Acepte estas solicitudes, pero guárdelas en un DB para denegarlas de inmediato a través de una función de seguridad de su sitio web. Si hay un firewall instalado, asegúrese de que el firewall también bloquee la IP directamente durante 24 horas. La identificación es bastante simple: lo que no es una solicitud regular, es malo. Eso es lo que hago y funciona bastante bien. Tenga en cuenta que esto me permite identificar las solicitudes que llegan, la cantidad de veces que se emiten, etc. y tener una reacción muy rápida. Sé que esto requiere un poco más de conocimiento sobre el software de su sitio web, pero al final es muy eficiente para atrapar tráfico no deseado y tener una defensa activa.
fuente