Sul mio sito web ho aggiunto una piccola funzione, che registra l'IP, le informazioni sul client / browser, il percorso e un timestamp.
Oggi ho controllato il mio database e ho ricevuto molte richieste strane.
Ecco alcuni di questi:
Qualcun altro ha problemi simili e dovrei essere preoccupato?
Non è necessario essere preoccupati, a meno che la configurazione non sia sicura.
Le prime richieste cercano un giudice proxy come link . La seconda tabella mostra gli scanner di vulnerabilità alla ricerca di applicazioni configurate in modo errato o obsolete. Questo è abbastanza normale "rumore" ed effetti quasi ogni IP server dedicato.
Potresti provare a bloccarli, ma ce ne sono così tanti che non ne vale la pena. Assicurati che qualsiasi pagina di accesso abbia un limite ragionevole per i tentativi di accesso massimo in un dato momento e che il tuo software sia aggiornato. Anche cose come phpmyadmin non dovrebbero essere accessibili pubblicamente.
molti robot stanno effettuando la scansione per la violazione del server e molti siti Web sono esposti a questo tipo di attacchi, la maggior parte delle volte le soluzioni sono semplici:
questo è il metodo prova a trovare l'accesso di accesso inviando la richiesta di accesso e poi testando il risultato, purché il risultato non sia loggato, riprova un'altra combinazione di login / password fino a quando l'accesso non è concesso
principalmente indirizzato su internet:
per prevenire questo tipo di attacchi:
è necessario conoscere la prima fase di questo tipo di attacchi al sito Web, è trovare quali strumenti Web si usano (nome CMS, phpmyadmin, ...), una volta trovata forza bruta può iniziare. Per l'applicazione è più semplice trovare una semplice scansione delle porte che usi lo strumento di sistema.
Oggi la maggior parte degli strumenti di sistema sono sicuri contro questo tipo di attacchi, ecco perché oggigiorno si concentrano sul sito web.
molte persone usano CMS open source, dato che è possibile sfruttare il codice open source. Tutte le violazioni vengono rilevate e protette dal dev, ma non tutti gli amministratori del server eseguono gli aggiornamenti. Quindi una volta risolta la violazione, la violazione diventa nota al pubblico (come Heartbleed, Poodler, ...). Ogni volta che i bot vengono aggiornati con nuove informazioni, cercando il sito esposto alla vulnerabilità.
per prevenire questo tipo di attacchi:
questo è un esempio delle regole di blocco per il server Apache:
<Directory />
#Block user agent empty or with suspicious values
RewriteCond %{HTTP_USER_AGENT} ^-?$|\x.*?\x|perl|python [NC,OR]
#Block default folders (optional, but prevent 404 logs)
RewriteCond %{REQUEST_URI} MyAdmin|\/pma\/|\/phpmyadmin| [NC,OR]
#Limit request to thoose requiered
RewriteCond %{REQUEST_METHOD} !^(GET|HEAD|POST)$ [OR]
#blocking request who not start by /
RewriteCond %{REQUEST_URI} !^/
#all thoose redirect to the error code you want, i like to use 406 in my case
RewriteRule .* - [END,R=406]
</Directory>
come la maggior parte dei bot sono bloccati prima di poter testare la violazione del tuo sito web.
A proposito, se si tiene d'occhio registri e annoncement di sicurezza, è possibile aggiornare le regole per aumentare la protezione dei robot.
non temere i robot o gli hacker, la maggior parte delle volte ci sono solo 4 cose principali da proteggere:
non dimenticare i backup, può essere utile!
Sì, sembra che qualcuno stia spaccando le maniglie delle porte metaforiche del tuo sito. È comune su Internet moderno, ci sono molti strumenti automatici per farlo e poco si può fare per impedirlo oltre a bloccare i bastardi. In particolare, sembra che uno strumento automatico stia verificando se il tuo spazio web potrebbe includere determinati strumenti amministrativi le cui versioni precedenti hanno vulnerabilità note. Tali strumenti sono una superficie di attacco comune per i futuri tentativi di penetrazione.
In generale non dovresti presumere che l'attacco sia mirato in modo specifico contro il tuo sito web finché non ci sono ragioni specifiche per pensare diversamente. È anche altamente probabile che non sarai in grado di fare una buona attribuzione verificando il proprietario dell'indirizzo IP (che potresti comunque voler fare); la scansione della vulnerabilità più automatizzata proviene da botnet in esecuzione su PC zombificati (e nodi IOT) al giorno d'oggi. Se ti senti educato, se il traffico è particolarmente elevato, o se ti capita di sapere chi c'è dietro gli indirizzi IP, potresti mandargli una lettera a riguardo; spesso, l'amministratore di sistema locale non sa nemmeno che alcuni dei loro computer sono diventati zombi. Ma è un po 'di lavoro e molte persone non ritengono che ne valga la pena. Inoltre, ci sono molti amministratori che non conoscono gli zombi sulla loro rete perché a loro non interessa.
Potresti voler prendere in considerazione tecniche di mitigazione come il blocco automatico quando le esplosioni di attività indesiderate sembrano provenire da un singolo indirizzo IP o intervallo di rete. Considera, tuttavia, che in alcuni casi potresti trovare strani robot che trascinano il tuo sito web come una buona cosa. Un esempio canonico è quello di garantire che i motori di ricerca siano a conoscenza dei meravigliosi prodotti che il tuo sito di e-commerce potrebbe offrire. Considera anche gli scenari in base ai quali tali regole di lock-out potrebbero rilevare falsi positivi e intralciare il traffico legittimo.
Leggi altre domande sui tag websites log-analysis