Những yêu cầu truy cập kỳ lạ này là gì?

9

Tôi sử dụng WAMPServer trên máy tính để thử nghiệm và phát triển. Tôi đã quên và để nó trực tuyến trong vài ngày và tôi nhận thấy một loạt các yêu cầu ngẫu nhiên thậm chí không phải từ IP của tôi. Dưới đây là một số ví dụ. 

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Rất nhiều trong số chúng là từ IP 58.218.199.250 này.

Một IP khác tôi nhận thấy đã cố gắng truy cập trình quản lý cơ sở dữ liệu của mình.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

Và đó là tất cả IP này đã làm. Vâng, nó đã trả về 404 vì các quyền chỉ là cục bộ. Và tất nhiên tất cả các IP này là từ Brazil, Trung Quốc và Nga ... Tôi có nên lo lắng về những yêu cầu ngẫu nhiên này hay nó là bình thường? Là những bot hoặc trình thu thập thông tin?

apache-2.2  web-server  request 
Jack
nguồn

Câu trả lời:

16

Tất cả hoàn toàn bình thường và được mong đợi trên bất kỳ máy chủ nào chúng tôi phải đối mặt. Những gì bạn đang thấy là kết quả của một nỗ lực theo kịch bản tiêu chuẩn để có quyền truy cập vào hệ thống của bạn bằng các điểm yếu đã biết. Không có gì lạ khi thấy hàng trăm hoặc thậm chí hàng ngàn yêu cầu như vậy từ một nguồn duy nhất trong một ngày.

Đây là một minh họa tuyệt vời về lý do tại sao điều quan trọng là đảm bảo phần mềm được cập nhật và khóa chặt nhất có thể. Ngoài ra, đảm bảo bạn sử dụng mật khẩu mạnh. Khi đã có điểm truy cập phù hợp, bạn có thể xem các nỗ lực truy cập vào tài khoản của mình, thường bắt đầu bằng các cuộc tấn công từ điển đơn giản.

John Gardeniers
nguồn
Làm thế nào người ta có thể làm cho các logfiles dài dòng hơn?
Max Muster
4

Tôi nhận được các loại nhật ký tất cả các thời gian trên máy chủ của tôi. Và, vì tôi là người ngăn chặn các vụ hack và xâm nhập, tôi thường theo dõi bằng cách báo cáo các cuộc tấn công thâm nhập này cho Nhóm Ứng phó khẩn cấp máy tính của Hoa Kỳ tại http://www.us-cert.gov . Tất nhiên tôi có thể đánh giá cao các cuộc tấn công này chỉ đơn thuần là một người học cách trở thành "chuyên gia bảo mật", nhưng họ có thể thử nghiệm trên mạng riêng của họ chứ không phải trên máy chủ của tôi.

Thông thường tôi chạy địa chỉ IP thông qua các trang web được liệt kê ở đây http://www.iana.org/numbers .

Điều này cung cấp cho tôi Thông tin doanh nghiệp ISP và email "lạm dụng" từ ISP tin tặc. Tôi gửi cho họ một bản sao nhật ký của tôi, số xác nhận từ báo cáo của tôi cho US-CERT và một ghi chú tử tế để cho họ biết tôi đang báo cáo sự cố này. Trong nhiều năm, điều này đã có hiệu quả gần 100% để ngăn chặn SPAM bằng cách sử dụng địa chỉ IP từ thông tin tiêu đề thư rác.

Ngoài ra, tôi cũng tạo một dòng mã cụ thể cho máy chủ của mình từ chối tất cả lưu lượng truy cập từ ISP đó.

Trên máy chủ của tôi, tôi gõ "deny from xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" hoặc "deny from" location.location.ru "trong đó" x "hoặc" location.location.ru "là bắt đầu và kết thúc phổ IP cho ISP đó (cách nhau bởi một khoảng trắng - không có Dấu ngoặc kép - xem lại tài liệu máy chủ của bạn về việc từ chối hoặc chặn IP). Bạn có thể tìm thấy Phổ địa chỉ ISP ở đầu thông tin ISP được liệt kê trên các trang web của IANA (Tìm kiếm WHOIS).

Điều này sẽ chặn TẤT CẢ lưu lượng truy cập từ ISP đó. Cẩn thận! Vì đây là một động thái triệt để, quy trình này có thể chặn hàng chục nghìn lượt truy cập tiềm năng đến từ ISP đó, nhưng đối với tôi, tôi ở Hoa Kỳ và tôi phục vụ các trang của mình tại địa phương, vì vậy lưu lượng truy cập từ Trung Quốc hoặc Nga không có nghĩa gì với tôi. Tôi không ngại chặn một nửa Hồng Kông hoặc Prague trên một số trang web của mình.

Chúc may mắn, hy vọng thông tin này là hữu ích. Luôn luôn sử dụng bảo vệ tốt :)

Khách mời
nguồn
2
Tôi tưởng tượng phương pháp này sẽ trở nên hơi khó sử dụng ở quy mô lớn.
Kinda Villyard
3

Đây là những nỗ lực phá vỡ (ít nhất là các thử nghiệm truy cập DB). Đó là bình thường để nhận được loại yêu cầu như vậy. Điểm quan trọng là đảm bảo cơ sở dữ liệu của bạn và bất kỳ tệp quan trọng nào khác được bảo mật trước những nỗ lực đó.

Khaled
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.