web-dev-qa-db-ja.com

Webサーバーへの奇妙なリクエスト

Ligin VPSでNginxを実行していますが、現在静的コンテンツのみを提供しています。

ログを見ていたところ、いくつかの奇妙なリクエストに気づきました:

XXX.193.171.202 - - [07/Aug/2013:14:04:36 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 142 "-" "Morfeus Fucking Scanner"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.221.207.157 - - [07/Aug/2013:22:04:20 +0400] "\x80w\x01\x03\x01\x00N\x00\x00\x00 \x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-"
XXX.221.207.157 - admin [07/Aug/2013:22:04:21 +0400] "GET /HNAP1/ HTTP/1.1" 404 142 "http://212.71.249.8/" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/xxx.x (KHTML like Gecko) Safari/12x.x"

この場合、誰かが私のサーバーをハッキングしようとすることを心配する必要がありますか?

53
Michael Pankov

お使いのサーバーは ZmEuスキャナー を含む自動化された攻撃の標的であるようです。

最初のリクエストは Morfeus Scanner を含む別の自動化された攻撃からのようです。

最後のリクエストは、D-Linkルーターのホームネットワーク管理プロトコル(HNAP)実装の脆弱性を悪用する試みのようです。攻撃の詳細については、 ここ を参照してください。

要求を一目で見ると、システムでphpmyadminを実行していない場合でも、心配する必要はありません。このような攻撃は、インターネットに接続されているサーバーでは当たり前のことであり、スキャンが404を取得して、サーバーが探しているものを持っていないことを示しています。

68
user10211

インターネットに接続されているすべてのサーバーは、何百もの「奇妙な要求」を受け取ります。それらのほとんどは、特定の脆弱性を備えたマシンを見つけることにより、複製を試みる自動ボットネットからのものです。彼らはランダムなIPアドレスを試します(結局のところ、可能なIPアドレスは40億にすぎません)。つまり、はい、誰かがあなたのサーバーに入ろうとしているのですが、その「誰か」は、特にあなたに対して何も持たない無知なオートマトンです。

ログエントリが見つかった場合、攻撃は機能しなかったので、心配する必要はありません。攻撃が成功した場合、攻撃者が最初に行うことは、ログファイルからトレースを削除することです。

すべてのオンラインサーバーは構造上、公開されており、ある時点でがこのようなランダムな攻撃の対象となるためです。

32
Tom Leek

既知のスキャナーをブロックしたい場合は、nginxベースのWAF naxsi + doxi-rules を使用することをお勧めします。これらのスキャナーは広く知られています

doxi + naxsi in action