Il mio server Apache viene regolarmente sottoposto a attacchi di vulnerabilità: devo preoccuparmi?

3

Quando guardo i miei log di accesso: trovo molte attività sospette che sembrano tentativi di ottenere accesso amministrativo al mio sistema usando vulnerabilità da prodotti software Web conosciuti come WordPress, Joomla, PhpBB, ecc ... Ho nessuno di questi software è installato e utilizza solo il mio software non rilasciato (closed source).

Tuttavia, sto usando (e usando) PhpMyAdmin. Rilevo vari tentativi di intrusione anche a questo, ma sembrano non avere successo: poiché ci sono solo poche richieste fatte per tentativo, ho risposto con un errore 404 o 401.

Ecco un elenco di voci sospette selezionate casualmente nel mio registro di accesso (indirizzi IP stornati):

0.0.0.0 - - [09/Mar/2016:17:10:30 +0100] "GET /CFIDE/administrator/ HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [09/Mar/2016:14:54:02 +0100] "GET http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.6554975758995777 HTTP/1.1" 404 1053 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"
0.0.0.0 - - [07/Mar/2016:23:29:52 +0100] "GET /muieblackcat HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:52 +0100] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:53 +0100] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:54 +0100] "GET //pma/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:54 +0100] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:55 +0100] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:21:42:52 +0100] "GET /wordpress/ HTTP/1.1" 404 1060 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2563.97 Safari/527.26"
0.0.0.0 - - [07/Mar/2016:15:02:32 +0100] "GET //admin/scripts/setup.php HTTP/1.1" 401 1310 "-" "-"
0.0.0.0 - - [07/Mar/2016:15:02:32 +0100] "GET //admin/pma/scripts/setup.php HTTP/1.1" 401 1314 "-" "-"
0.0.0.0 - - [07/Mar/2016:15:02:33 +0100] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 401 1321 "-" "-"
0.0.0.0 - - [29/Feb/2016:10:02:03 +0100] "GET /administrator/ HTTP/1.1" 406 - "http://mydomain.com/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"
0.0.0.0 - - [29/Feb/2016:00:09:34 +0100] "GET http://24x7-allrequestsallowed.com/?PHPSESSID=aab45f4f00143PRZJW%5EHYCMFUAZ HTTP/1.1" 200 178 "-" "-"
0.0.0.0 - - [28/Feb/2016:20:10:11 +0100] "GET /wp-login.php HTTP/1.1" 406 - "http://mydomain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

Dovrei essere preoccupato per la privacy e la sicurezza dei miei clienti? In tal caso: dovrei presentare un rapporto della polizia?

    
posta Alexander Johansen 11.03.2016 - 12:07
fonte

2 risposte

5

Mi sembra normale il rumore di fondo della scansione. Tutti i servizi mirati erano storicamente noti per avere vulnerabilità di sicurezza, con conseguente compromissione del server. La maggior parte di questi problemi è stata risolta nelle versioni successive, ma gli aggressori continuano a scansionarli regolarmente nella remota possibilità che possano intercettare più server per scopi dubbi.

Se tutti hanno dato errori 40x, non sono riusciti a passare, quindi non ci dovrebbero essere preoccupazioni dirette sui dati dei tuoi clienti. Potrebbero esserci dei modi per entrare nel tuo server, ma in genere avrebbero ricevuto una risposta di 20 volte: cose come l'iniezione di SQL spesso restituiscono dati inattesi, usando un metodo previsto (come una pagina web).

Dubito che la polizia possa essere interessata a questo - è probabile che l'IP di scansione appartenga a una terza parte il cui server stava eseguendo una di quelle applicazioni vulnerabili, quindi le possibilità di collegamento all'attacco dell'attaccante reale sono ridotte.

Se sei preoccupato per questo tipo di scansione, considera gli indirizzi IP bloccati manualmente che lo stanno eseguendo, ma ricorda che potresti finire per bloccare gli utenti legittimi come effetto collaterale.

    
risposta data 11.03.2016 - 12:24
fonte
0

IMO vale la pena controllare i file di registro per quello. Ti offre una buona panoramica sul tipo di siti Web o software attualmente sotto attacco.

Se hai un server Linux e se vuoi impedire questo tipo di accesso puoi usare uno strumento come fail2ban per bloccare automaticamente gli indirizzi IP correlati.

Un look nei log del mio server web mi mostra ogni giorno che non installerò mai phpMyAdmin su un server web pubblico.

    
risposta data 11.03.2016 - 12:45
fonte

Leggi altre domande sui tag