Apa permintaan akses aneh ini?

9

Saya menggunakan WAMPServer di komputer saya untuk pengujian dan pengembangan. Saya lupa dan membiarkannya online selama beberapa hari dan saya melihat banyak permintaan acak yang bahkan tidak berasal dari IP saya. Berikut ini beberapa contohnya. 

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Banyak dari mereka berasal dari IP 58.218.199.250 ini.

IP lain yang saya perhatikan telah mencoba mengakses manajer basis data saya.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

Dan itulah yang dilakukan IP ini. Yah itu mengembalikan 404 karena izin hanya lokal. Dan tentu saja semua IP ini berasal dari Brasil, Cina, dan Rusia ... Haruskah saya khawatir tentang permintaan acak ini atau apakah itu normal? Apakah ini bot atau perayap?

apache-2.2  web-server  request 
Mendongkrak
sumber

Jawaban:

16

Semua sangat normal dan diharapkan pada sembarang publik yang menghadapi server kami. Apa yang Anda lihat adalah hasil upaya skrip standar untuk mendapatkan akses ke sistem Anda menggunakan titik lemah yang diketahui. Bukan hal yang aneh melihat ratusan atau bahkan ribuan permintaan seperti itu dari satu sumber dalam satu hari.

Ini adalah ilustrasi yang sangat baik mengapa penting untuk memastikan perangkat lunak tetap up to date dan terkunci sebanyak mungkin. Selain itu, pastikan Anda menggunakan kata sandi yang kuat. Setelah titik akses yang sesuai ditemukan, Anda dapat menyaksikan upaya untuk mengakses akun Anda, biasanya dimulai dengan serangan kamus sederhana.

John Gardeniers
sumber
bagaimana kita bisa membuat file log lebih verbose?
Max Muster
4

Saya mendapatkan jenis log ini sepanjang waktu di server saya. Dan, karena saya adalah orang yang membenci upaya peretasan dan penetrasi, saya biasanya menindaklanjuti dengan melaporkan serangan penetrasi ini ke Tim Tanggap Darurat Komputer Amerika Serikat di http://www.us-cert.gov . Tentu saja saya dapat menghargai serangan ini hanya sebagai orang yang belajar untuk menjadi "pakar keamanan", tetapi mereka dapat bereksperimen di jaringan mereka sendiri, dan bukan di server saya.

Biasanya saya menjalankan alamat IP melalui situs web yang tercantum di sini http://www.iana.org/numbers .

Ini memberi saya Informasi Bisnis ISP dan email "penyalahgunaan" dari ISP peretas. Saya mengirimi mereka salinan log saya, nomor konfirmasi dari laporan saya ke US-CERT, dan catatan baik untuk memberi tahu mereka bahwa saya melaporkan kejadian ini. Selama bertahun-tahun, ini hampir 100% efektif untuk menghentikan SPAM dengan menggunakan alamat IP dari informasi header spam.

Selain itu, saya juga membuat baris kode khusus untuk server saya yang menolak semua lalu lintas dari ISP itu.

Di server saya, saya ketik "deny from xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" atau "deny from" location.location.ru "di mana" x "atau" location.location.ru "adalah awal dan mengakhiri spektrum IP untuk ISP tersebut (dipisahkan oleh spasi - tanpa Kutipan - tinjau dokumentasi server Anda tentang penolakan atau pemblokiran IP). Anda dapat menemukan Spektrum Alamat ISP di bagian atas informasi ISP yang tercantum di situs web IANA (Pencarian WHOIS).

Ini akan memblokir SEMUA lalu lintas dari ISP itu. Cermat! Karena ini adalah langkah radikal, prosedur ini dapat memblokir puluhan ribu potensi hit yang berasal dari ISP itu, tetapi, bagi saya, saya di Amerika Serikat dan saya melayani halaman saya secara lokal, sehingga lalu lintas dari China atau Rusia tidak ada artinya. untuk saya. Saya tidak keberatan memblokir setengah dari Hong Kong atau Praha di beberapa situs web saya.

Semoga Sukses, Semoga info ini bermanfaat. Selalu gunakan perlindungan yang baik :)

Tamu
sumber
2
Saya membayangkan pendekatan ini akan menjadi agak sulit pada skala besar.
Katherine Villyard
3

Ini adalah upaya yang melanggar (setidaknya uji coba akses DB). Adalah normal untuk menerima permintaan semacam itu. Poin penting adalah memastikan database Anda dan file penting lainnya diamankan dari upaya tersebut.

Khaled
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.