Ich verwende WAMPServer auf meinem Computer zum Testen und Entwickeln. Ich habe es vergessen und für ein paar Tage online gelassen und bemerke eine Reihe von zufälligen Anfragen, die nicht einmal von meiner IP stammen. Hier sind einige Beispiele.
77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
Viele von ihnen stammen von dieser 58.218.199.250 IP.
Eine andere IP, die mir aufgefallen ist, hat versucht, auf meinen Datenbankmanager zuzugreifen.
200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222
Und das war alles, was diese IP tat. Nun, es wurde ein 404 zurückgegeben, da die Berechtigungen nur lokal sind. Und natürlich kommen alle diese IPs aus Brasilien, China und Russland ... Sollte ich mir über diese zufälligen Anfragen Sorgen machen oder ist das normal? Sind das Bots oder Crawler?
Ich bekomme diese Art von Protokollen ständig auf meinem Server. Und da ich eine Person bin, die Hacking- und Penetrationsversuche verabscheut, melde ich diese Penetrationsangriffe normalerweise dem Computer Emergency Response Team der Vereinigten Staaten unter http://www.us-cert.gov . Natürlich kann ich diese Angriffe nur als eine Person verstehen, die lernt, ein "Sicherheitsexperte" zu werden, aber sie können in ihrem eigenen Netzwerk und nicht auf meinem Server experimentieren.
Normalerweise führe ich die IP-Adresse über die hier aufgeführten Websites aus: http://www.iana.org/numbers .
Dies gibt mir die ISP-Geschäftsinformationen und die "Missbrauch" -E-Mail des Hacker-ISP. Ich sende ihnen eine Kopie meiner Protokolle, die Bestätigungsnummer aus meinem Bericht an das US-CERT und eine freundliche Nachricht, um sie wissen zu lassen, dass ich diesen Vorfall melde. Seit Jahren ist dies nahezu 100% effektiv, um SPAM durch Verwendung der IP-Adresse aus den Spam-Header-Informationen zu stoppen.
Außerdem erstelle ich eine bestimmte Codezeile für meinen Server, die den gesamten Datenverkehr von diesem ISP verweigert.
Auf meinem Server gebe ich "Verweigern von xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" oder "Verweigern von" location.location.ru "ein, wobei" x "oder" location.location.ru "der Anfang ist und Beenden des IP-Spektrums für diesen ISP (durch ein Leerzeichen getrennt - keine Anführungszeichen - überprüfen Sie die Dokumentation Ihres Servers zum Verweigern oder Blockieren von IPs). Ein ISP-Adressspektrum finden Sie oben in den ISP-Informationen auf den IANA-Websites (WHOIS-Suche).
Dadurch wird der gesamte Datenverkehr von diesem ISP blockiert. Vorsichtig! Da dies ein radikaler Schritt ist, kann dieses Verfahren Zehntausende potenzieller Treffer von diesem ISP blockieren, aber ich bin in den USA und bediene meine Seiten vor Ort, sodass der Verkehr aus China oder Russland nichts bedeutet mir. Es macht mir nichts aus, die Hälfte von Hongkong oder Prag auf einigen meiner Websites zu blockieren.
Viel Glück, hoffe diese Info ist hilfreich. Verwenden Sie immer einen guten Schutz :)
quelle
Dies sind Unterbrechungsversuche (zumindest die DB-Zugriffsversuche). Es ist normal, solche Anfragen zu erhalten. Der wichtige Punkt ist, sicherzustellen, dass Ihre Datenbank und alle anderen wichtigen Dateien gegen solche Versuche geschützt sind.
quelle