Webサイトが攻撃されています。ログを確認する必要がありますか?
最近、サーバーをチェックしたところ、攻撃されていることがログでわかりました。ログを確認しても正確に把握できませんが、実際に心配する必要がある場合は、opendnsで攻撃者のドメイン評価を確認しましたが、これは適切ではありません。
31.210.102.114 - - [04/Mar/2017:16:31:37 +0000] "GET / HTTP/1.0" 200 2095 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 54 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:34 +0000] "GET /pma/scripts/setup.php HTTP/1.1" 404 34 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:34 +0000] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:35 +0000] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /SQL/scripts/setup.php HTTP/1.1" 404 34 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /myAdmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
46.229.164.99 - - [04/Mar/2017:17:42:46 +0000] "GET /robots.txt HTTP/1.1" 404 23 "-" "Mozilla/5.0 (compatible; SemrushBot/1.2~bl;
+http://www.semrush.com/bot.html)"
IPのgeoiplookupは言う:
➜ ~ geoiplookup 31.210.102.114
GeoIP Country Edition: TR, Turkey
GeoIP City Edition, Rev 1: TR, N/A, N/A, N/A, N/A, 41.013599, 28.954901, 0, 0
GeoIP ASNum Edition: AS197328 INTER NET BILGISAYAR TURIZM TIC LTD STI
➜ ~ geoiplookup 190.248.156.50
GeoIP Country Edition: CO, Colombia
GeoIP City Edition, Rev 1: CO, 02, Antioquia, Medellín, N/A, 6.251800, -75.563599, 0, 0
GeoIP ASNum Edition: AS13489 Telecomunicaciones S.A. E.S.P.
➜ ~ geoiplookup 46.229.164.99
GeoIP Country Edition: US, United States
GeoIP City Edition, Rev 1: US, VA, Virginia, Ashburn, 20147, 39.033501, -77.483803, 511, 703
GeoIP ASNum Edition: AS39572 DataWeb Global Group B.V.
最初のクエリにはUser-Agentmasscan これは:
TCPポートスキャナー、SYNパケットを非同期で送信し、インターネット全体を5分未満でスキャンします。
User-Agentはもちろん偽造することができますが、なぜそれをポートスキャナーのUAに変更するのでしょうか。
2番目の部分では、ルーマニア語のvulnスキャナーであると主張する ZmE を使用しています。
3番目の部分は SemrushBot であると主張し、robots.txtという1つのクエリしかありません。これはそのウェブサイトによれば合法であるように思われ、まったく攻撃のようには見えません。
これらのIPアドレスをブロックすることができます(そのための自動化されたソリューションもあります)、またはIPアドレスの範囲全体をブロックすることができます。この目的で使用できるリストはたくさんあります(例: https://zeltser.com/malicious -ip-blocklists / )。
心配は無用ですが、通常のバックグラウンドトラフィックのようです。ただし、ソフトウェアのアップグレードには注意が必要です。一般に知られている脆弱性を見つけて悪用する可能性があるためです。