Strane richieste al web server

Naviga le tue risposte
50

Ho un VPS Linode su cui gira Nginx, che attualmente serve solo contenuto statico.

Una volta stavo guardando il log e ho notato alcune strane richieste: 

XXX.193.171.202 - - [07/Aug/2013:14:04:36 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 142 "-" "Morfeus Fucking Scanner"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.221.207.157 - - [07/Aug/2013:22:04:20 +0400] "\x80w\x01\x03\x01\x00N\x00\x00\x00 \x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-"
XXX.221.207.157 - admin [07/Aug/2013:22:04:21 +0400] "GET /HNAP1/ HTTP/1.1" 404 142 "http://212.71.249.8/" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/xxx.x (KHTML like Gecko) Safari/12x.x"

Dovrei preoccuparmi di qualcuno che tenta di hackerare il mio server in questo caso?

    
posta Michael Pankov 08.08.2013 - 19:06
fonte

4 risposte

66

Sembra che il tuo server sia l'obiettivo di un attacco automatico che coinvolge il Scanner ZmEu .

La prima richiesta sembra provenire da un altro attacco automatico che coinvolge lo Morfeus Scanner .

L'ultima richiesta sembra essere un tentativo di sfruttare le vulnerabilità nelle implementazioni HNAP (Home Network Administration Protocol) dei router D-Link. Maggiori informazioni sull'attacco possono essere trovate qui .

Da uno sguardo cusorio alla richiesta che sta facendo, direi che non hai nulla di cui preoccuparti se non stai eseguendo phpmyadmin sui tuoi sistemi. Tali attacchi sono all'ordine del giorno per i server connessi a Internet e le scansioni ottengono 404 indicando che il server non ha quello che stanno cercando.

    
risposta data 08.08.2013 - 19:16
fonte
31

Ogni server connesso a Internet riceverà centinaia di "strane richieste". La maggior parte proviene da botnet automatiche che cercano di replicare, trovando macchine che presentano una vulnerabilità specifica. Provano gli indirizzi IP casuali (ci sono solo quattro miliardi di possibili indirizzi IP, dopotutto). Quindi si , qualcuno sta cercando di entrare nel tuo server, ma quel "qualcuno" è un automa insensato che non ha nulla contro tu , in particolare.

Direi che se trovi le voci del registro, allora l'attacco non ha funzionato così non devi preoccuparti di loro. Quando l'attacco ha successo, la prima cosa che fa l'attaccante è rimuovere le sue tracce dai file di registro.

Questo evidenzia la massima necessità di installare fix di sicurezza, perché ogni server online è, per costruzione, esposto e sarà preso di mira da tali attacchi casuali ad un certo punto.

    
risposta data 08.08.2013 - 19:31
fonte
10

se vuoi bloccare gli scanner conosciuti potresti voler usare WAF nginx naxsi + doxi-rules ; questi scanner sono ampiamente conosciuti

    
risposta data 09.08.2013 - 11:45
fonte
-2

Secondo l'ultimo rapporto, la vulnerabilità è in ZynOS ed è un problema per gli utenti del router da D-Link, TP-Link, ZTE e altri produttori che consentono hacker remoti nella modifica delle impostazioni DNS e dirotta il traffico dell'utente. Questa vulnerabilità ha una funzione "backdoor-type" "incorporata" nel router che suggerisce un'implementazione deliberata.

  1. L'input dello strumento "ping" che D-Link DIR636L filtra in modo errato consente l'iniezione dei comandi arbitrari nel router
  2. Abilita l'utente malintenzionato remoto a ottenere il pieno controllo del router, ad esempio che attacca la rete in caso di attacco stile DDoS o persino l'esposizione dei computer dietro i dispositivi a Internet che modifica le regole firewall / NAT sui router
risposta data 25.03.2015 - 08:23
fonte

Leggi altre domande sui tag

Feeding / dev / random entropy pool? Devo registrare che un utente ha cambiato la password?