Quais são essas solicitações de acesso estranhas?

9

Estou usando o WAMPServer no meu computador para teste e desenvolvimento. Esqueci-me e deixei-o online por alguns dias e noto um monte de solicitações aleatórias que nem são do meu IP. Aqui estão alguns exemplos. 

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Muitos deles são deste IP 58.218.199.250.

Outro IP que notei está tentando acessar meu gerenciador de banco de dados.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

E isso é tudo que esse IP estava fazendo. Bem, ele retornou um 404, pois as permissões são apenas locais. E é claro que todos esses IPs são do Brasil, China e Rússia ... Devo me preocupar com esses pedidos aleatórios ou é normal? Esses bots ou rastreadores são?

apache-2.2  web-server  request 
Jack
fonte

Respostas:

16

Tudo perfeitamente normal e esperado em qualquer servidor público. O que você vê são os resultados de uma tentativa com script padrão de obter acesso ao seu sistema usando pontos fracos conhecidos. Não é incomum ver centenas ou mesmo milhares de solicitações de uma única fonte em um único dia.

É uma excelente ilustração de por que é importante garantir que o software seja atualizado e bloqueado o máximo possível. Além disso, verifique se você usa senhas fortes. Depois que um ponto de acesso adequado é localizado, você pode assistir às tentativas de acessar suas contas, normalmente começando com ataques simples de dicionário.

John Gardeniers
fonte
como tornar os arquivos de log mais detalhados?
quer
4

Eu recebo esse tipo de registro o tempo todo no meu servidor. E, como sou uma pessoa que detesta tentativas de invasão e invasão, geralmente acompanho esses ataques à equipe de resposta a emergências de computadores dos Estados Unidos em http://www.us-cert.gov . É claro que posso apreciar esses ataques apenas como uma pessoa aprendendo a se tornar um "especialista em segurança", mas eles podem experimentar em sua própria rede, e não no meu servidor.

Normalmente, eu corro o endereço IP através dos sites listados aqui http://www.iana.org/numbers .

Isso me fornece as informações comerciais do ISP e o email de "abuso" do ISP dos hackers. Envio a eles uma cópia dos meus logs, o número de confirmação do meu relatório para o US-CERT e uma nota gentil para que eles saibam que estou denunciando esse incidente. Durante anos, isso foi quase 100% eficaz para interromper o SPAM usando o endereço IP das informações do cabeçalho de spam.

Além disso, também crio uma linha de código específica para o meu servidor, negando todo o tráfego desse ISP.

No meu servidor, digite "negar de xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" ou "negar de" location.location.ru ", em que" x "ou" location.location.ru "é o início e final do espectro de IP para esse ISP (separado por um espaço - sem aspas - consulte a documentação de seus servidores sobre como negar ou bloquear IPs). Você pode encontrar um ISP Address Spectrum na parte superior das informações do ISP listadas nos sites da IANA (WHOIS Search).

Isso bloqueará TODO o tráfego desse ISP. Cuidado! Como essa é uma ação radical, esse procedimento pode bloquear dezenas de milhares de possíveis ocorrências desse provedor, mas, quanto a mim, estou nos Estados Unidos e sirvo minhas páginas localmente, portanto o tráfego da China ou da Rússia não significa nada para mim. Não me importo de bloquear metade de Hong Kong ou Praga em alguns dos meus sites.

Boa sorte, espero que esta informação seja útil. Sempre use boa proteção :)

Hóspede
fonte
2
Imagino que essa abordagem se torne um pouco pesada em larga escala.
Katherine Villyard
3

Essas são tentativas de interrupção (pelo menos as avaliações de acesso ao banco de dados). É normal receber esse tipo de solicitação. O ponto importante é garantir que seu banco de dados e quaisquer outros arquivos importantes estejam protegidos contra essas tentativas.

Khaled
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.