php-fpm.log mostra una massa di tentativi insoliti per aprire lo script primario con nomi di file casuali [duplicato]

Question

php-fpm.log mostra una massa di tentativi insoliti per aprire lo script primario con nomi di file casuali [duplicato]

#1 da (0 voti)

2

Di recente mi è capitato di ispezionare il mio php-fpm.log e ho scoperto molte attività sospette che assomigliano a tentativi malevoli di ottenere l'accesso al mio host. Ecco alcuni dei log:

[07-Oct-2018 22:01:31] WARNING: [pool www] child 4190 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/1.php (No such file or directory)"
[07-Oct-2018 22:01:31] WARNING: [pool www] child 2955 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/a.php (No such file or directory)"
[07-Oct-2018 22:01:31] WARNING: [pool www] child 3003 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/m.php (No such file or directory)"
[07-Oct-2018 22:01:32] WARNING: [pool www] child 4677 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/conf.php (No such file or directory)"
[07-Oct-2018 22:01:32] WARNING: [pool www] child 4667 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/123.php (No such file or directory)"

Sta cercando di aprire vari nomi casuali nella mia cartella web, e mi chiedo come posso capire la fonte dell'attività e come fermarla?

php centos

posta michaeledi 20.10.2018 - 12:32

fonte

1 risposta

Leggi altre domande sui tag php centos

BufferOverflow attack Segment Fault SSH dice Autenticazione tentata per XX con la chiave corretta ma non da un host autorizzato

score 0 · Answer 1

Questo è un attacco a cui OWASP si riferisce come Navigazione forzata . L'autore dell'attacco ha un dizionario di parole, frasi, ecc. Che tenterà su server casuali per trovare file php che esistono, ma che non sono referenziati direttamente da link o altri script sul tuo sito.

L'obiettivo è identificare potenziali file PHP vulnerabili. I nomi di file come a, b o 123 potrebbero indicare un codice che era ancora in fase di sviluppo e che era stato dimenticato. Il codice in fase di sviluppo potrebbe perdere informazioni nelle uscite di debug.

Conf.php sta cercando gli script che sono destinati alla configurazione iniziale di un'app Web, che era stata progettata per essere rimossa dopo la configurazione, ma non lo era.

Questi tipi di attacchi sono estremamente facili da eseguire e di solito non indicano che tu sei l'obiettivo di una minaccia avanzata. Li paragonerei a port scanning, in cui un utente malintenzionato tenta solo alcuni file comuni su tutti e vede se viene restituito qualcosa di interessante.

A seconda del server web che stai usando, potresti voler installare un modulo o configurarlo in modo da limitare il numero di 404s che restituisce a un particolare IP in un tempo specificato.