Webサーバーのログは、誰かが私のサイトをハッキングしようとしていることを示しています、どうすればよいですか?
誰かが私のサイトをハッキングしようとしているようです。以下はmy IISログファイルからのものです。
#Software: Microsoft Internet Information Services 7.5
#Version: 1.0
#Date: 2011-07-03 00:02:39
#Fields: date time s-sitename cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
2011-07-03 18:29:05 W3SVC111 GET /V20xRmRRPT0K - 80 - 83.140.8.18 - 302 0 0 458 145 786
2011-07-03 18:29:06 W3SVC111 GET /scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 468 151 617
2011-07-03 18:29:06 W3SVC111 GET /admin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 132
2011-07-03 18:29:08 W3SVC111 GET /admin/pma/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 161 2407
2011-07-03 18:29:08 W3SVC111 GET /admin/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 181
2011-07-03 18:29:08 W3SVC111 GET /db/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 474 154 259
2011-07-03 18:29:09 W3SVC111 GET /dbadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 371
2011-07-03 18:29:09 W3SVC111 GET /myadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 357
2011-07-03 18:29:09 W3SVC111 GET /mysql/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 197
2011-07-03 18:29:10 W3SVC111 GET /mysqladmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 310
2011-07-03 18:29:10 W3SVC111 GET /typo3/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 103
2011-07-03 18:29:10 W3SVC111 GET /phpadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 486 160 56
2011-07-03 18:29:10 W3SVC111 GET /phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 139
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 87
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin1/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 51
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin2/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 98
2011-07-03 18:29:10 W3SVC111 GET /pma/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 476 155 55
2011-07-03 18:29:10 W3SVC111 GET /web/phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 166 53
2011-07-03 18:29:10 W3SVC111 GET /xampp/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 52
これでどうすればいいですか?一緒に警察に行くべきですか?どんな良いアドバイスでも大歓迎です。
無視することをお勧めします。問題を起こす価値はありません。そこにはあまりにも多くの感染したマシンがあります。
手元に時間が多すぎる場合は、IPアドレスで whois query を実行できます。次に、ISPに連絡して、顧客が感染していることを伝えます。連絡先のメールアドレスは通常「abuse @」ドメインです。
この場合 whois 83.140.8.18は、次のようなコメントも返します。
乱用の場合は、乱用にメールを送ってください(at)rixtelecom.se
私はそれを持って警察に行く気になりません。これは、IPの一般的なスキャンであり、世の中で最も一般的なIPに発生します。
Hendrik Brummermann氏は、IPをISPの不正行為部門に報告する価値があると述べています。
そのIPから/ dev/nullへのルートを追加するか、ファイアウォールでそれをブロックすることにより、IPをブロックすることもできます。
みんなが言ったようにユーザーISPに連絡してください。
この特定の攻撃に関する知識を使用して、セキュリティを強化し、ファイアウォールルールを調整することもできます。ユニークIPなどで同じページへのリクエスト数を制限するようなものです。グーグルの多くの例はあなたがあなたのために最善を決定するのに役立つはずです。
これにより、将来の攻撃に対処し、使用される帯域幅を削減できます。
ここでは違法なものは何も見当たりません。存在しないパスをクエリするすべての人を報告したい場合、将来はかなり忙しいでしょう。
彼のISPはあなたを笑います。
サーバー上で実行されている可能性のある情報に関する自動プローブのようです。前述のように、警察に行ってISPの不正行為メールに報告する価値はありません。
トップの回答がそれを無視するように提案したとき、私は回答を強いられたと感じました。 無視しないでください!ブラインドアタックですが、それを払いのけて何もしないでください。明らかにそれはまだ攻撃です。ログによると、実際の攻撃は行われていませんが、彼は情報を収集しています。脅威を無視する前に、これらのスクリプトがサーバー上のスクリプトでないことを確認する必要があります。それらの1つが適切な要求であった場合、彼らはあなたが実行しているものを識別しました。彼らがあなたが実行しているものを識別した場合、彼らは好奇心のためだけに好奇心が強いわけではないでしょう。彼らは脆弱性についてより深く調査します。したがって、フォローアッププローブのように見える可能性があるログエントリに注意してください。
それがどのように展開されるかの例。
- 自動Intel Searchが実行されます。彼はサーバーがフォーラム、CMS、ポータルなどの人気のあるWebベースのソフトウェアで見つかったファイルを提供しているかどうかを確認します。Wordpress CMSを実行していることを確認したとしましょう。これが表示されますステップがログに表示されます。
- 次に、プローブされた別の演奏があります。これは、2つの方法のいずれかで行うことができます。実行中のWPのバージョンを特定するのに役立つ特定のファイルをチェックする場合があります。または、既知の脆弱性を持つサードパーティのプラグインの特定のファイルをチェックする場合があります。このステップがログ。同じ日に発生することもあれば、数週間待つこともあります。
- 彼が、CMSのバージョンまたは既知のエクスプロイトを持つプラグインを実行していることを確認したとしましょう。その後、それらのエクスプロイトを実行しようとします。これは自動的に行うことも、手動でこのステップを行うこともできます。ログにこれが表示される可能性が高く、クエリ文字列が奇妙であり、SQLインジェクションの試みまたはサーバーが脆弱性を介して実行することを期待するコードが含まれている可能性があります。
ご覧のとおり、これらの条件が無視することを選択した場合、サーバーやサイトが侵害される可能性があります。