web-dev-qa-db-ja.com

存在しないページに対して奇妙なHTTPリクエストを受け取るのはなぜですか?

私はWebサーバーを実行しており、人々の要求を監視しています。次のようなトラフィックが頻繁に発生しています。

GET /phph/php/ph.php HTTP/1.1

または

GET /mrmr/mrm/mr.php HTTP/1.1

これらのスキャンはありますか?クライアントは私のサーバーがすでに侵害されているかどうかをチェックしていますか、それとも私が脆弱かどうかをチェックしていますか?

私が知る限り、私はそのようなディレクトリをホストしていないので、そのようなトラフィックは侵害されたマシンのスキャンです。私がそのようなものを検索するときにグーグルが提供するリンクをクリックするのは危険だと思うので、私は確信がありません。

35
user2738698

これらのタイプの偽の要求は非常に一般的です。彼らはあなたがすでに危険にさらされているかどうかを確認するか、またはサーバーにエラーをスローさせてサーバーに関する情報を(エラーメッセージから)収集するよう求めています。

あなただけではありません:

http://shadow.wolvesincalifornia.org/awstats/data/awstats092014.shadow.wolvesincalifornia.org.txt

# URL with 404 errors - Hits - Last URL referer
BEGIN_SIDER_404 193
/admin.php 1 -
/root/back.css 1 -
/drdr/drd/dr.php 2 -
/hkhk/hkh/hk.php 1 -
/wp/2011/07/19/&amp 6 -
/ahah/aha/ah.php 1 -
/andro/back.css 1 -
/wp/comments/feed/ 1 -
/wjwj/wjw/wj.php 1 -

私たちは皆、これらのリクエストによってスパムにさらされています。

33
schroeder

攻撃者は、一般的なファイルを要求して、特定の既製のWebソフトウェアがインストールされているかどうかを確認しようとします。

たとえば、wordpressまたはphpbbまたはmediawiki)を使用していることが判明すると、これらのアプリケーションに固有のエクスプロイトを使用してサイトを乗っ取ることができます。

これに対する最善の対策は、Webサーバーにソフトウェアをインストールしすぎないようにし、インストールしたソフトウェアを常に最新の状態に保つことです。

12
Philipp

はい、これらはスキャンです

Google thosestrings の場合、インターネット全体の多数のサイトのWebログに表示されることがわかります。通常は、Googleが見える場所にログを配置する安価なWebホストサイトです。それら。これは、一部のツールがそのURLをトロールしていることを示しています。

スキャンの目的を示すのに十分な情報がありません。おそらくPHPがサポートされているかどうか、およびサポートされている場合、サーバーがPHPの無効なURLをどのように処理するかを判断するのに役立つだけです。

これらのスキャンは、おそらくバックグラウンドノイズとして無視しても問題ありません。

10
gowenfawr

これらは、自動スキャン、たとえばNiktoによって提供されたスキャン、またはディレクトリのブルートフォースディスカバリーDirBusterなどのツール。これは、サーバー上のファイルとディレクトリを識別/発見し、アプリケーションのより良いフィンガープリントを提供したり、機密ファイル。これは、どのmodulesuが使用していて、後でより高度な攻撃や、検出されたファイルに応じて機密情報を活用するために使用される可能性があるかについての情報を明らかにします。リクエストログに次のようなリクエストが含まれる場合:

/../../ etc/passwd

../../../../ blah/etc/passwd

これは、パストラバーサルの脆弱性を探す試みです。

パストラバーサルの詳細: https://www.owasp.org/index.php/Path_Traversal Nikto: http://sectools.org/tool/nikto/ DirBuster: https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

0
racec0ndition