web-dev-qa-db-ja.com

私のApacheサーバーは脆弱性攻撃に定期的に挑戦しています:心配する必要がありますか?

アクセスログを調べたところ、WordPress、Joomla、PhpBBなどの既知のWebソフトウェア製品の脆弱性を使用してシステムへの管理アクセスを取得しようとするような疑わしいアクティビティがたくさん見つかりました...これらはありませんソフトウェアがインストールされ、私自身のリリースされていない(クローズドソース)ソフトウェアのみを実行している。

しかし、私はPhpMyAdminを実行(および使用)しています。私もこれに対するいくつかの侵入の試みを検出しましたが、それらは失敗しているようです:試行ごとに行われる要求はほんの少ししかないので、404または401エラーで応答しました。

これは、私のアクセスログでランダムに選択された不審なエントリのリストです(IPアドレスは取り除かれています)。

0.0.0.0 - - [09/Mar/2016:17:10:30 +0100] "GET /CFIDE/administrator/ HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [09/Mar/2016:14:54:02 +0100] "GET http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.6554975758995777 HTTP/1.1" 404 1053 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"
0.0.0.0 - - [07/Mar/2016:23:29:52 +0100] "GET /muieblackcat HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:52 +0100] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:53 +0100] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:54 +0100] "GET //pma/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:54 +0100] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:55 +0100] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:21:42:52 +0100] "GET /wordpress/ HTTP/1.1" 404 1060 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2563.97 Safari/527.26"
0.0.0.0 - - [07/Mar/2016:15:02:32 +0100] "GET //admin/scripts/setup.php HTTP/1.1" 401 1310 "-" "-"
0.0.0.0 - - [07/Mar/2016:15:02:32 +0100] "GET //admin/pma/scripts/setup.php HTTP/1.1" 401 1314 "-" "-"
0.0.0.0 - - [07/Mar/2016:15:02:33 +0100] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 401 1321 "-" "-"
0.0.0.0 - - [29/Feb/2016:10:02:03 +0100] "GET /administrator/ HTTP/1.1" 406 - "http://mydomain.com/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"
0.0.0.0 - - [29/Feb/2016:00:09:34 +0100] "GET http://24x7-allrequestsallowed.com/?PHPSESSID=aab45f4f00143PRZJW%5EHYCMFUAZ HTTP/1.1" 200 178 "-" "-"
0.0.0.0 - - [28/Feb/2016:20:10:11 +0100] "GET /wp-login.php HTTP/1.1" 406 - "http://mydomain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

顧客のプライバシーとセキュリティについて心配する必要がありますか?もしそうなら:私は警察の報告を提出する必要がありますか?

phpexploitwebserverapachevulnerability
3
Alexander Johansen

私には通常のスキャンのバックグラウンドノイズのように見えます。対象となるサービスはすべて、これまでサーバーにセキュリティ侵害をもたらすセキュリティ上の脆弱性があることがわかっていました。これらの問題のほとんどは、後のバージョンで修正されていますが、攻撃者は、疑わしい目的のためにより多くのサーバーをハイジャックする可能性があるオフチャンスで定期的にスキャンします。

すべて40xエラーが発生した場合、エラーは解決していないため、顧客データを直接心配する必要はありません。サーバーへの方法はあるかもしれませんが、通常、20倍の応答を受け取ります。SQLインジェクションなどは、予期されたメソッド(Webページなど)を使用して予期しないデータを返すことがよくあります。

警察がこれに興味を持っているのではないかと思います。スキャンIPが、サーバーが脆弱なアプリケーションの1つを実行しているサードパーティに属している可能性があるため、実際の攻撃者にリンクする可能性はわずかです。

この種のスキャンが心配な場合は、スキャンを実行しているIPアドレスを手動でブロックすることを検討してください。ただし、副作用として正当なユーザーをブロックする可能性があることに注意してください。

5
Matthew

IMOログファイルを確認することは価値があります。これは、現在どのようなWebサイトまたはソフトウェアが攻撃を受けているかについての概要を示しています。

Linuxサーバーがあり、そのようなアクセスを防止したい場合は、fail2banなどのツールを使用して、関連するIPアドレスを自動的にブロックできます。

私のウェブサーバーのログを見ると、毎日私に表示されます。たとえば、パブリックウェブサーバーにphpMyAdminをインストールすることはありません。

0
OkieOth