Zainstalowałem Apache jakiś czas temu i szybki rzut oka na mój access.log pokazuje, że łączą się różnego rodzaju nieznane adresy IP, głównie o kodzie stanu 403, 404, 400, 408. Nie mam pojęcia, jak się znajdują mój adres IP, ponieważ używam go tylko do użytku osobistego i dodałem plik robots.txt, mając nadzieję, że powstrzyma to wyszukiwarki. Blokuję indeksy i nie ma w tym nic naprawdę ważnego.
W jaki sposób te boty (lub ludzie) znajdują serwer? Czy to się często zdarza? Czy te połączenia są niebezpieczne / co mogę z tym zrobić?
Ponadto wiele adresów IP pochodzi z różnych krajów i nie rozpoznaje nazwy hosta.
Oto kilka przykładów tego, co się dzieje:
w jednym dużym ruchu ten bot próbował znaleźć phpmyadmina:
"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"
dostaję ich dużo:
"HEAD / HTTP/1.0" 403 - "-" "-"
dużo „proxyheader.php”, dostaję całkiem sporo żądań z linkami http: // w GET
"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
"POŁĄCZYĆ"
"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"
„soapCaller.bs”
"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"
i to naprawdę szkicowe bzdury sześciokątne ..
"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"
pusty
"-" 408 - "-" "-"
To tylko sedno tego. Dostaję różnego rodzaju śmieci, nawet z klientami Win95.
Dzięki.
źródło
To tylko ludzie próbujący znaleźć luki w zabezpieczeniach serwerów. Niemal na pewno zrobione przez skompromitowane maszyny.
Będą to ludzie skanujący określone zakresy adresów IP - z phpMyAdmina widać, że próbuje znaleźć źle zabezpieczoną wersję PMA przed instalacją. Po znalezieniu może uzyskać zaskakujący dostęp do systemu.
Upewnij się, że Twój system jest aktualny i nie masz żadnych usług, które nie są wymagane.
źródło
Są to roboty skanujące w poszukiwaniu znanych zagrożeń bezpieczeństwa. Po prostu skanują całe zakresy sieci, dzięki czemu znajdą nieadaptowane serwery, takie jak twój. Nie grają dobrze i nie dbają o twój plik robots.txt. Jeśli znajdą lukę, albo ją zarejestrują (i wkrótce można spodziewać się ręcznego ataku), albo automatycznie zainfekują komputer rootkitem lub podobnym złośliwym oprogramowaniem. Niewiele można na to poradzić, a to tylko normalny interes w Internecie. To jest powód, dla którego ważne jest, aby zawsze mieć zainstalowane najnowsze poprawki bezpieczeństwa oprogramowania.
źródło
Jak zauważyli inni, prawdopodobnie wykonują skanowanie metodą brutalnej siły. Jeśli korzystasz z dynamicznego adresu IP, istnieje większe prawdopodobieństwo, że zeskanujesz ten adres. (Poniższa rada zakłada, że Linux / UNIX, ale większość może dotyczyć serwerów Windows).
Najprostszym sposobem ich zablokowania są:
Aby ograniczyć szkody, jakie mogą wyrządzić Twojemu systemowi, upewnij się, że proces Apache może zapisywać tylko do katalogów i plików, które powinien móc zmienić. W większości przypadków serwer potrzebuje tylko dostępu do odczytu do treści, które obsługuje.
źródło
Internet jest przestrzenią publiczną, stąd termin public ip. Nie możesz się ukryć, chyba że ustawisz sposób odmawiania publicznego (VPN, acl na zaporze ogniowej, bezpośredni dostęp itp.). Te połączenia są niebezpieczne, ponieważ w końcu ktoś będzie cię szybciej wykorzystywał niż łatanie. Rozważę jakieś uwierzytelnienie przed udzieleniem odpowiedzi.
źródło