Quelles sont ces étranges demandes d'accès?

9

J'utilise WAMPServer sur mon ordinateur pour les tests et le développement. J'ai oublié et l'ai laissé en ligne pendant quelques jours et je remarque un tas de demandes aléatoires qui ne proviennent même pas de mon adresse IP. Voici quelques exemples.

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

Beaucoup d'entre eux proviennent de cette IP 58.218.199.250.

Une autre adresse IP que j'ai remarquée tente d'accéder à mon gestionnaire de base de données.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

Et c'est tout ce que faisait IP. Eh bien, il a renvoyé un 404 car les autorisations sont locales uniquement. Et bien sûr, toutes ces adresses IP viennent du Brésil, de Chine et de Russie ... Dois-je m'inquiéter de ces demandes aléatoires ou est-ce normal? S'agit-il de robots ou de robots?

Jack
la source

Réponses:

16

Le tout parfaitement normal et attendu sur tout serveur public face à nous. Ce que vous voyez est le résultat d'une tentative scriptée standard d'accéder à votre système en utilisant des points faibles connus. Il n'est pas inhabituel de voir des centaines, voire des milliers de telles demandes d'une même source en une seule journée.

C'est une excellente illustration de la raison pour laquelle il est important de s'assurer que le logiciel est mis à jour et verrouillé autant que possible. De plus, assurez-vous d'utiliser des mots de passe forts. Une fois qu'un point d'accès approprié est localisé, vous pouvez regarder les tentatives d'accès à vos comptes, en commençant normalement par de simples attaques par dictionnaire.

John Gardeniers
la source
comment rendre les fichiers journaux plus verbeux?
Max Muster du
4

Je reçois ce type de journaux tout le temps sur mon serveur. Et, comme je suis une personne qui déteste les tentatives de piratage et de pénétration, je fais généralement un suivi en signalant ces attaques de pénétration à l'équipe de réponse d'urgence informatique des États-Unis à http://www.us-cert.gov . Bien sûr, je peux apprécier ces attaques comme une simple personne qui apprend à devenir un "expert en sécurité", mais ils peuvent expérimenter sur leur propre réseau, et non sur mon serveur.

Habituellement, j'exécute l'adresse IP via les sites Web répertoriés ici http://www.iana.org/numbers .

Cela me donne les informations commerciales du FAI et les e-mails "abusifs" du FAI des pirates. Je leur envoie une copie de mes journaux, le numéro de confirmation de mon rapport à l'US-CERT, et une note aimable pour leur faire savoir que je signale cet incident. Pendant des années, cela a été presque 100% efficace pour arrêter le SPAM en utilisant l'adresse IP à partir des informations d'en-tête de spam.

De plus, je crée également une ligne de code spécifique pour mon serveur refusant tout le trafic provenant de ce FAI.

Sur mon serveur, je tape "refuser de xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" ou "refuser de" location.location.ru "où" x "ou" location.location.ru "est le début et mettre fin au spectre IP pour ce FAI (séparé par un espace - pas de devis - consultez la documentation de vos serveurs sur le refus ou le blocage des adresses IP). Vous pouvez trouver un spectre d'adresses FAI en haut des informations FAI répertoriées sur les sites Web de l'IANA (recherche WHOIS).

Cela bloquera TOUT le trafic de ce FAI. Prudent! Comme il s'agit d'une décision radicale, cette procédure peut bloquer des dizaines de milliers de hits potentiels provenant de ce FAI, mais, pour moi, je suis aux États-Unis et je sers mes pages localement, donc le trafic en provenance de Chine ou de Russie ne veut rien dire tome. Cela ne me dérange pas de bloquer la moitié de Hong Kong ou de Prague sur certains de mes sites Web.

Bonne chance, j'espère que ces informations vous seront utiles. Utilisez toujours une bonne protection :)

Client
la source
2
J'imagine que cette approche deviendrait un peu lourde à grande échelle.
Katherine Villyard le
3

Ce sont des tentatives de rupture (au moins les essais d'accès DB). Il est normal de recevoir ce type de demandes. L'important est de s'assurer que votre base de données et tous les autres fichiers importants sont protégés contre de telles tentatives.

Khaled
la source