Quais são essas solicitações de acesso estranhas?

6

Estou usando o WAMPServer no meu computador para testes e desenvolvimento. Eu esqueci e deixei on-line por alguns dias e notei um monte de pedidos aleatórios que nem são do meu IP. Aqui estão alguns exemplos.

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Muitos deles são deste 58.218.199.250 IP.

Outro IP que notei estava tentando acessar meu gerenciador de banco de dados.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

E isso é tudo o que o IP estava fazendo. Bem retornou um 404 desde que as permissões são somente locais. E, claro, todos esses IPs são do Brasil, China e Rússia ... Devo estar preocupado com esses pedidos aleatórios ou é normal? Esses bots ou rastreadores são?

    
por Jack 01.05.2012 / 08:48

3 respostas

15

Tudo perfeitamente normal e esperado em qualquer servidor voltado para o público. O que você está vendo são os resultados de uma tentativa padrão de script para obter acesso ao seu sistema usando pontos fracos conhecidos. Não é incomum ver centenas ou até milhares desses pedidos de uma única fonte em um único dia.

É uma excelente ilustração de por que é importante garantir que o software seja mantido atualizado e bloqueado o máximo possível. Além disso, assegure-se de usar senhas strongs. Quando um ponto de acesso adequado é localizado, você pode assistir às tentativas de acessar suas contas, normalmente iniciando com ataques de dicionário simples.

    
por 01.05.2012 / 10:19
4

Eu recebo esse tipo de registro o tempo todo no meu servidor. E, como sou uma pessoa que detesta tentativas de invasão e invasão, geralmente acompanho reportando esses ataques de invasão à equipe de resposta a emergências de computadores dos Estados Unidos em link . É claro que posso apreciar esses ataques apenas como uma pessoa aprendendo a se tornar um "especialista em segurança", mas eles podem experimentar em sua própria rede, e não em meu servidor.

Normalmente eu executo o endereço IP através dos sites listados aqui link .

Isso me fornece as Informações Comerciais do ISP e o e-mail de "abuso" do ISP de hackers. Eu envio uma cópia dos meus registros, o número da confirmação do meu relatório para o US-CERT, e uma nota gentil para avisá-los que estou relatando este incidente. Durante anos, isso foi quase 100% eficaz para impedir SPAM usando o endereço IP das informações de cabeçalho de spam.

Além disso, também crio uma linha de código específica para o meu servidor negar todo o tráfego desse ISP.

No meu servidor eu digite "negar de xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" ou "negar de" location.location.ru "onde" x "ou" location.location.ru "é o espectro inicial e final do IP para esse ISP (separado por um espaço - sem cotações - analise a documentação de seus servidores sobre como negar ou bloquear IPs.) Você pode encontrar um ISP Address Spectrum na parte superior das informações do ISP listadas nos sites da IANA (WHOIS Search ).

Isso bloqueará todo o tráfego desse ISP. Cuidado! Como esse é um passo radical, esse procedimento pode bloquear dezenas de milhares de hits vindos daquele ISP, mas, para mim, estou nos Estados Unidos e sirvo minhas páginas localmente, então o tráfego da China ou da Rússia não significa nada. para mim. Não me importo de bloquear metade de Hong Kong ou Praga em alguns dos meus sites.

Boa sorte, Espero que esta informação seja útil. Sempre use uma boa proteção:)

    
por 09.02.2014 / 03:36
3

Estas são tentativas de quebra (pelo menos as tentativas de acesso ao banco de dados). É normal receber esse tipo de solicitações. O ponto importante é garantir que seu banco de dados e quaisquer outros arquivos importantes estejam protegidos contra essas tentativas.

    
por 01.05.2012 / 08:55