Was sind diese seltsamen Zugriffsanforderungen?

9

Ich verwende WAMPServer auf meinem Computer zum Testen und Entwickeln. Ich habe es vergessen und für ein paar Tage online gelassen und bemerke eine Reihe von zufälligen Anfragen, die nicht einmal von meiner IP stammen. Hier sind einige Beispiele.

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Viele von ihnen stammen von dieser 58.218.199.250 IP.

Eine andere IP, die mir aufgefallen ist, hat versucht, auf meinen Datenbankmanager zuzugreifen.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

Und das war alles, was diese IP tat. Nun, es wurde ein 404 zurückgegeben, da die Berechtigungen nur lokal sind. Und natürlich kommen alle diese IPs aus Brasilien, China und Russland ... Sollte ich mir über diese zufälligen Anfragen Sorgen machen oder ist das normal? Sind das Bots oder Crawler?

Jack
quelle

Antworten:

16

Alles völlig normal und wird auf jedem öffentlich zugänglichen Server erwartet. Was Sie sehen, sind die Ergebnisse eines standardmäßigen Skriptversuchs, mit bekannten Schwachstellen auf Ihr System zuzugreifen. Es ist nicht ungewöhnlich, dass an einem einzigen Tag Hunderte oder sogar Tausende solcher Anfragen aus einer Hand kommen.

Dies ist ein hervorragendes Beispiel dafür, warum es wichtig ist, sicherzustellen, dass die Software auf dem neuesten Stand gehalten und so weit wie möglich gesperrt wird. Stellen Sie außerdem sicher, dass Sie sichere Kennwörter verwenden. Sobald ein geeigneter Zugangspunkt gefunden wurde, können Sie die Versuche verfolgen, auf Ihre Konten zuzugreifen, normalerweise beginnend mit einfachen Wörterbuchangriffen.

John Gardeniers
quelle
Wie kann man die Logdateien ausführlicher machen?
Max Muster
4

Ich bekomme diese Art von Protokollen ständig auf meinem Server. Und da ich eine Person bin, die Hacking- und Penetrationsversuche verabscheut, melde ich diese Penetrationsangriffe normalerweise dem Computer Emergency Response Team der Vereinigten Staaten unter http://www.us-cert.gov . Natürlich kann ich diese Angriffe nur als eine Person verstehen, die lernt, ein "Sicherheitsexperte" zu werden, aber sie können in ihrem eigenen Netzwerk und nicht auf meinem Server experimentieren.

Normalerweise führe ich die IP-Adresse über die hier aufgeführten Websites aus: http://www.iana.org/numbers .

Dies gibt mir die ISP-Geschäftsinformationen und die "Missbrauch" -E-Mail des Hacker-ISP. Ich sende ihnen eine Kopie meiner Protokolle, die Bestätigungsnummer aus meinem Bericht an das US-CERT und eine freundliche Nachricht, um sie wissen zu lassen, dass ich diesen Vorfall melde. Seit Jahren ist dies nahezu 100% effektiv, um SPAM durch Verwendung der IP-Adresse aus den Spam-Header-Informationen zu stoppen.

Außerdem erstelle ich eine bestimmte Codezeile für meinen Server, die den gesamten Datenverkehr von diesem ISP verweigert.

Auf meinem Server gebe ich "Verweigern von xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" oder "Verweigern von" location.location.ru "ein, wobei" x "oder" location.location.ru "der Anfang ist und Beenden des IP-Spektrums für diesen ISP (durch ein Leerzeichen getrennt - keine Anführungszeichen - überprüfen Sie die Dokumentation Ihres Servers zum Verweigern oder Blockieren von IPs). Ein ISP-Adressspektrum finden Sie oben in den ISP-Informationen auf den IANA-Websites (WHOIS-Suche).

Dadurch wird der gesamte Datenverkehr von diesem ISP blockiert. Vorsichtig! Da dies ein radikaler Schritt ist, kann dieses Verfahren Zehntausende potenzieller Treffer von diesem ISP blockieren, aber ich bin in den USA und bediene meine Seiten vor Ort, sodass der Verkehr aus China oder Russland nichts bedeutet mir. Es macht mir nichts aus, die Hälfte von Hongkong oder Prag auf einigen meiner Websites zu blockieren.

Viel Glück, hoffe diese Info ist hilfreich. Verwenden Sie immer einen guten Schutz :)

Gast
quelle
2
Ich stelle mir vor, dass dieser Ansatz im großen Maßstab etwas unhandlich werden würde.
Katherine Villyard
3

Dies sind Unterbrechungsversuche (zumindest die DB-Zugriffsversuche). Es ist normal, solche Anfragen zu erhalten. Der wichtige Punkt ist, sicherzustellen, dass Ihre Datenbank und alle anderen wichtigen Dateien gegen solche Versuche geschützt sind.

Khaled
quelle