私はWebサーバーを実行しており、人々の要求を監視しています。次のようなトラフィックが頻繁に発生しています。
GET /phph/php/ph.php HTTP/1.1
または
GET /mrmr/mrm/mr.php HTTP/1.1
これらのスキャンはありますか?クライアントは私のサーバーがすでに侵害されているかどうかをチェックしていますか、それとも私が脆弱かどうかをチェックしていますか?
私が知る限り、私はそのようなディレクトリをホストしていないので、そのようなトラフィックは侵害されたマシンのスキャンです。私がそのようなものを検索するときにグーグルが提供するリンクをクリックするのは危険だと思うので、私は確信がありません。
これらのタイプの偽の要求は非常に一般的です。彼らはあなたがすでに危険にさらされているかどうかを確認するか、またはサーバーにエラーをスローさせてサーバーに関する情報を(エラーメッセージから)収集するよう求めています。
あなただけではありません:
http://shadow.wolvesincalifornia.org/awstats/data/awstats092014.shadow.wolvesincalifornia.org.txt
# URL with 404 errors - Hits - Last URL referer
BEGIN_SIDER_404 193
/admin.php 1 -
/root/back.css 1 -
/drdr/drd/dr.php 2 -
/hkhk/hkh/hk.php 1 -
/wp/2011/07/19/& 6 -
/ahah/aha/ah.php 1 -
/andro/back.css 1 -
/wp/comments/feed/ 1 -
/wjwj/wjw/wj.php 1 -
私たちは皆、これらのリクエストによってスパムにさらされています。
攻撃者は、一般的なファイルを要求して、特定の既製のWebソフトウェアがインストールされているかどうかを確認しようとします。
たとえば、wordpressまたはphpbbまたはmediawiki)を使用していることが判明すると、これらのアプリケーションに固有のエクスプロイトを使用してサイトを乗っ取ることができます。
これに対する最善の対策は、Webサーバーにソフトウェアをインストールしすぎないようにし、インストールしたソフトウェアを常に最新の状態に保つことです。
これらは、自動スキャン、たとえばNiktoによって提供されたスキャン、またはディレクトリのブルートフォースディスカバリーDirBusterなどのツール。これは、サーバー上のファイルとディレクトリを識別/発見し、アプリケーションのより良いフィンガープリントを提供したり、機密ファイル。これは、どのmodulesuが使用していて、後でより高度な攻撃や、検出されたファイルに応じて機密情報を活用するために使用される可能性があるかについての情報を明らかにします。リクエストログに次のようなリクエストが含まれる場合:
/../../ etc/passwd
../../../../ blah/etc/passwd
これは、パストラバーサルの脆弱性を探す試みです。
パストラバーサルの詳細: https://www.owasp.org/index.php/Path_Traversal Nikto: http://sectools.org/tool/nikto/ DirBuster: https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project