web-dev-qa-db-ja.com

これらの奇妙なアクセス要求は何ですか?

コンピューターでWAMPServerをテストと開発に使用しています。忘れて、数日間オンラインに置いたままにしておくと、自分のIPからでもないランダムな要求がたくさんあることに気付きました。下記は用例です。

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

それらの多くは、この58.218.199.250 IPからのものです。

別のIPがデータベースマネージャーにアクセスしようとしていることに気付きました。

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

そして、それはこのIPが行っていたすべてです。権限はローカルのみであるため、まあそれは404を返しました。そしてもちろん、これらすべてのIPはブラジル、中国、ロシアからのものです...これらのランダムなリクエストについて心配する必要がありますか、それとも正常ですか?これらのボットまたはクローラーですか?

apache-2.2web-serverrequest
9
Jack

すべて完全に正常であり、私たちのサーバーが直面している一般の人には期待されています。表示されているのは、既知の弱点を使用してシステムにアクセスしようとする標準のスクリプト化された試みの結果です。 1日に1つのソースから数百または数千のそのようなリクエストが表示されることも珍しくありません。

これは、ソフトウェアを最新の状態に保ち、可能な限りロックダウンすることが重要である理由の優れた例です。さらに、強力なパスワードを使用していることを確認してください。適切なアクセスポイントが見つかったら、通常は単純な辞書攻撃から始まる、アカウントへのアクセスの試みを監視できます。

16
John Gardeniers

私のサーバーでは常にこの種のログを取得しています。そして、私はハッキングと侵入の試みを嫌う人なので、通常これらの侵入攻撃を米国コンピュータ緊急対応チーム http://www.us-cert.gov に報告することでフォローアップします。 。もちろん、私はこれらの攻撃を単なる「セキュリティの専門家」になることを学んでいる人として認めることができますが、私のサーバーではなく、独自のネットワークで実験することができます。

通常、私はここにリストされているWebサイト http://www.iana.org/numbers を通じてIPアドレスを実行します。

これにより、ISPのビジネス情報と、ハッカーISPからの「悪用」メールが届きます。私は彼らに私のログのコピー、私の報告からUS-CERTへの確認番号、そして私がこの事件を報告していることを知らせる親切なメモを送ります。何年もの間、これはスパムヘッダー情報のIPアドレスを使用してSPAMを停止するのにほぼ100%効果的でした。

また、サーバー用に特定のコード行を作成して、そのISPからのすべてのトラフィックを拒否します。

私のサーバーでは、「xxx.xxx.xxx.xxx xxx.xxx.xxx.xxxからの拒否」または「location.location.ruからの拒否」と入力します。ここで、「x」または「location.location.ru」は先頭であり、そのISPの終了IPスペクトル(スペースで区切る-引用符なし-IPの拒否またはブロックに関するサーバーのドキュメントを確認してください)ISPアドレススペクトルは、IANAのWebサイト(WHOIS検索)にリストされているISP情報の上部にあります。

これにより、そのISPからのすべてのトラフィックがブロックされます。気をつけて!これは根本的な動きなので、この手順はそのISPからの数万の潜在的なヒットをブロックする可能性がありますが、私は米国にいて、自分のページをローカルで提供しているため、中国やロシアからのトラフィックは何の意味もありません私に。一部のウェブサイトで香港またはプラハの半分をブロックしてもかまいません。

この情報がお役に立てば幸いです。常に適切な保護を使用してください:)

4
Guest

これらは破壊的な試みです(少なくともDBアクセスの試行)。このようなタイプのリクエストを受け取るのは正常です。重要なポイントは、データベースやその他の重要なファイルがそのような試みから保護されていることを確認することです。

3
Khaled