My WebSite viene attaccato, dovrei essere preoccupato di vedere i log?

2

Recentemente ho controllato il mio server e ho trovato nei log che è stato attaccato. Vedendo i log non sono in grado di capire esattamente, se dovessi essere veramente preoccupato. Ho controllato la valutazione del dominio dell'attaccante su opendns, non è buono.Follwoings sono i log della richiesta ricevuta:

31.210.102.114 - - [04/Mar/2017:16:31:37 +0000] "GET / HTTP/1.0" 200 2095 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 54 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:34 +0000] "GET /pma/scripts/setup.php HTTP/1.1" 404 34 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:34 +0000] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:35 +0000] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /SQL/scripts/setup.php HTTP/1.1" 404 34 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /myAdmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
46.229.164.99 - - [04/Mar/2017:17:42:46 +0000] "GET /robots.txt HTTP/1.1" 404 23 "-" "Mozilla/5.0 (compatible; SemrushBot/1.2~bl;
+http://www.semrush.com/bot.html)"
    
posta user3856170 04.03.2017 - 20:37
fonte

2 risposte

0

Il geoiplookup degli IP dice:

➜  ~ geoiplookup 31.210.102.114
GeoIP Country Edition: TR, Turkey
GeoIP City Edition, Rev 1: TR, N/A, N/A, N/A, N/A, 41.013599, 28.954901, 0, 0
GeoIP ASNum Edition: AS197328 INTER NET BILGISAYAR TURIZM TIC LTD STI
➜  ~ geoiplookup 190.248.156.50
GeoIP Country Edition: CO, Colombia
GeoIP City Edition, Rev 1: CO, 02, Antioquia, Medellín, N/A, 6.251800, -75.563599, 0, 0
GeoIP ASNum Edition: AS13489 Telecomunicaciones S.A. E.S.P.
➜  ~ geoiplookup 46.229.164.99
GeoIP Country Edition: US, United States
GeoIP City Edition, Rev 1: US, VA, Virginia, Ashburn, 20147, 39.033501, -77.483803, 511, 703
GeoIP ASNum Edition: AS39572 DataWeb Global Group B.V.

La prima query ha il User-Agent masscan che è:

TCP port scanner, spews SYN packets asynchronously, scanning entire Internet in under 5 minutes.

User-Agent può essere simulato, naturalmente, ma perché dovresti modificarlo in UA di uno scanner di porte.

La seconda parte utilizza ZmEu che dichiara di essere uno scanner vuln rumeno.

La terza parte afferma di essere SemrushBot e ha una sola query, il robots.txt. Questo sembra legittimo secondo il suo sito web e non sembra affatto un attacco.

Puoi bloccare questi indirizzi IP (ci sono anche soluzioni automatizzate per questo), oppure puoi bloccare interi intervalli di indirizzi IP, ci sono molti elenchi disponibili per questo scopo (es .: link ).

Tuttavia, non mi preoccuperei, sembra un normale traffico in background. Tuttavia, fai attenzione ad aggiornare il tuo software, perché potrebbero trovare e sfruttare un virus conosciuto dal pubblico.

    
risposta data 04.03.2017 - 20:51
fonte
2

Impostazione Fail2Ban , o è equivalente, per monitorare i tuoi weblog e bloccare automaticamente l'IP indirizzo da persone che fanno cose del genere . Tieni sempre d'occhio i tuoi registri ma hai dei piani per ciò che devi fare quando le cose accadono.

Ogni sistema su Internet ottiene scansioni come queste praticamente ogni giorno, se non ogni ora, in alcuni casi. Scopri come rafforzare il tuo server e le tue applicazioni in modo da non doverti preoccupare e testarlo con tutto ciò che puoi. C'è molto da fare per la sicurezza, ma strumenti come Fail2Ban possono aiutare molto.

link

    
risposta data 04.03.2017 - 20:44
fonte

Leggi altre domande sui tag