I registri del server Web mostrano che qualcuno sta tentando di hackerare il mio sito, cosa devo fare?

Naviga le tue risposte
10

Sembra che qualcuno stia tentando di hackerare il mio sito. Quanto segue proviene dai miei file di registro IIS: 

#Software: Microsoft Internet Information Services 7.5
#Version: 1.0
#Date: 2011-07-03 00:02:39
#Fields: date time s-sitename cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
2011-07-03 18:29:05 W3SVC111 GET /V20xRmRRPT0K - 80 - 83.140.8.18 - 302 0 0 458 145 786
2011-07-03 18:29:06 W3SVC111 GET /scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 468 151 617
2011-07-03 18:29:06 W3SVC111 GET /admin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 132
2011-07-03 18:29:08 W3SVC111 GET /admin/pma/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 161 2407
2011-07-03 18:29:08 W3SVC111 GET /admin/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 181
2011-07-03 18:29:08 W3SVC111 GET /db/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 474 154 259
2011-07-03 18:29:09 W3SVC111 GET /dbadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 371
2011-07-03 18:29:09 W3SVC111 GET /myadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 357
2011-07-03 18:29:09 W3SVC111 GET /mysql/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 197
2011-07-03 18:29:10 W3SVC111 GET /mysqladmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 310
2011-07-03 18:29:10 W3SVC111 GET /typo3/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 103
2011-07-03 18:29:10 W3SVC111 GET /phpadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 486 160 56
2011-07-03 18:29:10 W3SVC111 GET /phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 139
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 87
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin1/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 51
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin2/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 98
2011-07-03 18:29:10 W3SVC111 GET /pma/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 476 155 55
2011-07-03 18:29:10 W3SVC111 GET /web/phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 166 53
2011-07-03 18:29:10 W3SVC111 GET /xampp/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 52

Cosa dovrei fare con questo? Dovrei andare alla polizia con questo? Qualsiasi buon consiglio è benvenuto.

    
posta Louis Somers 03.07.2011 - 21:33
fonte

5 risposte

15

Suggerisco di ignorarlo, non ne vale la pena. Ci sono troppe macchine infette là fuori.

Se hai troppo tempo a disposizione, puoi fare una query whois sull'IP- indirizzo. Quindi contattare l'ISP, comunicando loro di avere un cliente infetto. L'indirizzo email da contattare è solitamente dominio "abuse @".

In questo caso whois 83.140.8.18 restituisce anche un commento che dice:

In case of abuse, send mail to abuse (at) rixtelecom.se

    
risposta data 03.07.2011 - 21:47
fonte
6

Non mi preoccuperei di andare alla polizia con questo. Questa è una scansione comune sul tuo IP che avviene per la maggior parte degli indirizzi IP pubblici.

Come sa Hendrik Brummermann, può valere la pena riportare l'IP al dipartimento degli abusi dell'ISP.

Puoi anche bloccare l'IP aggiungendo una rotta a / dev / null da quell'IP o bloccandola nel firewall.

    
risposta data 03.07.2011 - 22:48
fonte
6

Contatta l'ISP dell'utente come hanno detto tutti.

Puoi anche usare la conoscenza di questo particolare attacco per rafforzare la tua sicurezza e ottimizzare le regole del firewall. Come limitare il numero di richieste alla stessa pagina tramite IP univoco o così via. Molti esempi su google dovrebbero aiutarti a determinare il meglio per te.

Questo dovrebbe affrontare gli attacchi futuri e ridurre la larghezza di banda utilizzata.

    
risposta data 04.07.2011 - 10:33
fonte
2

Non vedo nulla di illegale qui. Se vuoi segnalare a tutti coloro che chiedono un percorso non esistente, sarai piuttosto occupato in futuro.

Il suo ISP riderà di te.

    
risposta data 04.07.2011 - 11:00
fonte
0

Sembra una sonda automatica per informazioni su cosa potrebbe essere in esecuzione sul tuo server. Come detto, non vale la pena andare alla polizia e segnalarli alla email di abuso dei loro ISP.

Mi sono sentito in dovere di rispondere quando la risposta più importante ha suggerito di ignorarlo. Non ignorarlo! Anche se si tratta di un attacco cieco, non devi comunque spazzarlo via e non fare nulla. Ovviamente è ancora un attacco. Secondo i registri non viene effettuato alcun attacco ma sta raccogliendo informazioni. Dovresti essere sicuro che nessuno di questi script sia script sul tuo server prima di ignorare la minaccia. Se una di queste era una buona richiesta, hanno identificato quello che stai facendo. Se hanno identificato quello che stai correndo, probabilmente non sono curiosi solo per il gusto di essere curiosi. Esamineranno più a fondo le vulnerabilità. Quindi stai attento alle voci di registro che potrebbero sembrare sonde di follow up.

Un esempio di come potrebbe apparire.

  • Viene eseguita la ricerca automatica intel. Controllerà per vedere se il server sta servendo i file trovati in popolari software basati sul Web come forum, CMS, portali, ecc. Diciamo che ha identificato che stai utilizzando il CMS Wordpress. Verrà visualizzato questo passaggio nei log.
  • Avrai quindi un'altra esecuzione sondata. Questo potrebbe essere fatto in due modi. Potrebbe controllare alcuni file che aiutano a identificare quale versione di WP potresti eseguire. Oppure potrebbe controllare alcuni file per plugin di terze parti con vulnerabilità note. Vedrai questo passaggio apparire nei tuoi registri. Potrebbe accadere lo stesso giorno o potrebbe aspettare settimane.
  • Supponiamo che abbia identificato che stai utilizzando una versione del CMS o un plugin con un exploit noto. Quindi tenterà di eseguire quegli exploit. Potrebbe essere fatto automaticamente o potrebbe fare manualmente questo passo. Probabilmente lo vedrete nei log e le probabilità che le stringhe di query siano strane e lunghe potrebbero contenere un tentativo o codice di iniezione SQL che spererebbe che il server esegua tramite la vulnerabilità.

Come puoi vedere, se queste condizioni dovessero significare che la tua scelta di ignorarlo potrebbe compromettere il tuo server e / o il tuo sito.

    
risposta data 04.08.2015 - 19:32
fonte

Leggi altre domande sui tag

Come fa un server SSL a dimostrare la propria identità? Quali sono gli attacchi Web che gli utenti possono eseguire sul tuo server?