¿Cuáles son estas solicitudes de acceso extrañas?

9

Utilizo WAMPServer en mi computadora para pruebas y desarrollo. Lo olvidé y lo dejé en línea durante unos días y noté un montón de solicitudes aleatorias que ni siquiera son de mi IP. Aquí hay unos ejemplos.

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Muchos de ellos son de esta IP 58.218.199.250.

Otra IP que noté ha estado intentando acceder a mi administrador de base de datos.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

Y eso es todo lo que estaba haciendo esta IP. Bueno, devolvió un 404 ya que los permisos son solo locales. Y, por supuesto, todas estas IP son de Brasil, China y Rusia ... ¿Debería preocuparme por estas solicitudes aleatorias o es normal? ¿Son estos robots o rastreadores?

Jack
fuente

Respuestas:

16

Todo perfectamente normal y esperado en cualquier servidor público que tengamos. Lo que está viendo son los resultados de un intento guionizado estándar para obtener acceso a su sistema utilizando puntos débiles conocidos. No es inusual ver cientos o incluso miles de tales solicitudes de una sola fuente en un solo día.

Es una excelente ilustración de por qué es importante asegurarse de que el software se mantenga actualizado y bloqueado tanto como sea práctico. Además, asegúrese de usar contraseñas seguras. Una vez que se encuentra un punto de acceso adecuado, puede ver los intentos de acceder a sus cuentas, normalmente comenzando con simples ataques de diccionario.

John Gardeniers
fuente
¿Cómo se puede hacer que los archivos de registro sean más detallados?
Max Muster
4

Recibo este tipo de registros todo el tiempo en mi servidor. Y, como soy una persona que detesta los intentos de piratería y penetración, generalmente hago un seguimiento informando estos ataques de penetración al Equipo de Respuesta de Emergencia Informática de los Estados Unidos en http://www.us-cert.gov . Por supuesto, puedo apreciar estos ataques simplemente como una persona que está aprendiendo a convertirse en un "experto en seguridad", pero pueden experimentar en su propia red y no en mi servidor.

Por lo general, ejecuto la dirección IP a través de los sitios web enumerados aquí http://www.iana.org/numbers .

Esto me da la información comercial del ISP y el correo electrónico de "abuso" del ISP de los hackers. Les envío una copia de mis registros, el número de confirmación de mi informe al US-CERT y una nota amable para informarles que estoy informando este incidente. Durante años, esto ha sido casi 100% efectivo para detener el SPAM utilizando la dirección IP de la información del encabezado de spam.

Además, también creo una línea de código específica para mi servidor que niega todo el tráfico de ese ISP.

En mi servidor, escribo "negar desde xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" o "negar desde" location.location.ru "donde" x "o" location.location.ru "es el principio y finalizando el espectro de IP para ese ISP (separado por un espacio - sin Cotizaciones - revise la documentación de sus servidores sobre denegación o bloqueo de IP). Puede encontrar un espectro de direcciones de ISP en la parte superior de la información del ISP que aparece en los sitios web de IANA (Búsqueda de WHOIS).

Esto bloqueará TODO el tráfico de ese ISP. ¡Cuidado! Como este es un movimiento radical, este procedimiento puede bloquear decenas de miles de posibles visitas provenientes de ese ISP, pero, en cuanto a mí, estoy en los Estados Unidos y sirvo mis páginas localmente, por lo que el tráfico de China o Rusia no significa nada a mi. No me importa bloquear la mitad de Hong Kong o Praga en algunos de mis sitios web.

Buena suerte, espero que esta información sea útil. Siempre use buena protección :)

Invitado
fuente
2
Me imagino que este enfoque sería un poco difícil de manejar a gran escala.
Katherine Villyard
3

Estos son intentos de ruptura (al menos las pruebas de acceso a la base de datos). Es normal recibir ese tipo de solicitudes. El punto importante es asegurarse de que su base de datos y cualquier otro archivo importante estén protegidos contra tales intentos.

Khaled
fuente