Ich verwende einen LAMP- Stack, auf dem kein phpMyAdmin (yes) installiert ist. Beim Stöbern in meinen Apache-Server-Protokollen sind mir folgende Dinge aufgefallen:
66.184.178.58 - - [16/Mar/2010:13:27:59 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
200.78.247.148 - - [16/Mar/2010:15:26:05 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-"
206.47.160.224 - - [16/Mar/2010:17:27:57 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:02 +0800] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 480 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:03 +0800] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 476 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:04 +0800] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 478 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:05 +0800] "GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 479 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:05 +0800] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 479 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:06 +0800] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 482 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
Was genau ist los? Ist es ein wirklich lahmer Versuch, sich einzumischen? Sollte ich mir die Mühe machen, die IP-Adressen zu blockieren, von denen diese stammen, oder es einfach belassen?
Edit: Sie haben anscheinend auch SSH ausprobiert. Amüsanterweise haben sie nicht annähernd meinen Namen richtig verstanden. ; p
apache-2.2
security
hacking
Geselle Geek
quelle
quelle
Antworten:
Ich würde nicht die Mühe aufwenden, solche Dinge manuell zu behandeln, aber ich wäre versucht, so etwas wie fail2ban einzurichten, wenn Sie es noch nicht getan haben.
quelle
Ja, es gibt Script-Kiddies, die standardmäßige "Standard" -Hacking-Scripts ausführen, um nach anfälligen Servern zu suchen. Wenn Sie gepatcht und durch eine Firewall geschützt sind und alle üblichen Dinge gesperrt haben, würde ich mir keine Sorgen machen - Sie werden die ganze Zeit über einen Hack-Versuch bekommen.
Machen Sie sich natürlich Sorgen, dass keine Patches, keine ordnungsgemäßen Firewalls und keine ausnutzbaren Skripts / Seiten / Apps auf Ihrem Server ausgeführt werden. Halten Sie Ausschau nach ungewöhnlichen Dingen und stellen Sie sicher, dass Sie über Sicherheitsupdates informiert werden, und installieren Sie diese.
quelle
Es ist nur Hintergrundgeräusch des Internets. Es ist nicht Ihre Zeit oder Energie, sich damit zu befassen. Wenn Sie fail2ban nicht eingerichtet haben, sollten Sie dies tun, aber alles andere ist nicht erforderlich. Ich habe mehr als 10.000 Versuche in nur ein oder zwei Tagen gesehen.
quelle
In meinen Protokollen sehe ich die ganze Zeit sehr ähnliche Dinge. Ich wette, dass es sich nur um einen Scanner handelt, der wahrscheinlich einen Großteil des Internets nach bekannten Angriffslücken absucht.
Mach dir also keine Sorgen. Stellen Sie einfach sicher, dass Ihr System auf dem neuesten Stand der Patches ist.
quelle
Hier ist ein Skript, das ich "früher" (also vor Jahren und Jahren) erstellt habe, um lästige 404-Werte aus dem Apache-Fehlerprotokoll zu entfernen.
quelle
Checkout http://www.modsecurity.org/ kann auch so konfiguriert werden, dass Angriffe auf Apache gemindert werden. Sie könnten überlegen, verschiedene Server für authentifizierte und nicht authentifizierte Benutzer zu verwenden. Um einen Angriff auf Ihren Hauptbenutzer der Webanwendung zu starten, muss dieser vollständig authentifiziert sein.
Missbrauch von Benutzern kann der Zugriff verweigert oder zumindest informiert werden, um ihre fehlerhafte Maschine zu bereinigen.
quelle
Ich würde lieber einen anderen Ansatz verwenden. Akzeptieren Sie diese Anforderungen, speichern Sie sie jedoch in einer Datenbank, um sie über eine Sicherheitsfunktion Ihrer Website sofort abzulehnen. Wenn eine Firewall installiert ist, stellen Sie sicher, dass die Firewall auch die IP-Adresse für 24 Stunden blockiert. Die Identifizierung ist ziemlich einfach: Was nicht regelmäßig angefordert wird, ist schlecht. Das ist was ich tue und es funktioniert ganz gut. Beachten Sie, dass ich auf diese Weise die eingehenden Anforderungen, die Häufigkeit der Ausgabe usw. identifizieren und sehr schnell darauf reagieren kann. Ich weiß, dass dies ein bisschen mehr Wissen über Ihre Website-Software erfordert, aber am Ende ist es sehr effizient, um unerwünschten Datenverkehr zu fangen und eine aktive Verteidigung zu haben.
quelle