Perché ricevo strane richieste HTTP per pagine non esistenti?

Naviga le tue risposte
32

Gestisco un server web e guardo ciò che le persone richiedono. Ho ricevuto traffico frequente come: 

GET /phph/php/ph.php HTTP/1.1

o 

GET /mrmr/mrm/mr.php HTTP/1.1

Queste sono le scansioni? I client verificano se il mio server è già compromesso o controllano se sono vulnerabile?

Per quanto posso dire, dal momento che non ospita tali directory, tale traffico è una scansione per macchine compromesse; Non lo so per certo perché penso che non sia sicuro fare clic sui link forniti da Google quando eseguo una ricerca per tali elementi.

    
posta user2738698 26.02.2015 - 18:51
fonte

4 risposte

33

Questi tipi di richieste spurie sono molto, molto comuni. Stanno cercando di vedere se sei già compromesso, o se stai cercando di ottenere un errore nel tuo server per raccogliere informazioni sul tuo server (dai messaggi di errore).

Non sei l'unico:

link 

# URL with 404 errors - Hits - Last URL referer
BEGIN_SIDER_404 193
/admin.php 1 -
/root/back.css 1 -
/drdr/drd/dr.php 2 -
/hkhk/hkh/hk.php 1 -
/wp/2011/07/19/&amp 6 -
/ahah/aha/ah.php 1 -
/andro/back.css 1 -
/wp/comments/feed/ 1 -
/wjwj/wjw/wj.php 1 -

Tutti riceviamo spam da queste richieste.

    
risposta data 26.02.2015 - 19:21
fonte
12

L'utente malintenzionato cerca di scoprire se si dispone di un determinato software Web preinstallato richiedendo i file che sono tipici per loro.

Quando scoprono che usi, ad esempio, wordpress o phpbb o mediawiki, possono quindi provare a utilizzare gli exploit specifici di queste applicazioni per rilevare il tuo sito.

La migliore contromisura contro questo è evitare di installare troppo software sul server web e mantenere il software che hai installato sempre aggiornato.

    
risposta data 26.02.2015 - 19:27
fonte
10

Sì, quelle sono scansioni.

Se Google quelli stringhe vedrai che compaiono nei log web di numerosi siti su Internet, di solito siti web di basso costo che mettono i loro log dove Google può vederli. Questa è una indicazione sufficiente del fatto che alcuni strumenti eseguono la pesca alla traina per quell'URL.

Non ci sono abbastanza informazioni per indicare che cosa si intende fare con la scansione - probabilmente semplicemente per aiutare a determinare se PHP è supportato e in tal caso in che modo il server gestisce un URL non valido per PHP.

Probabilmente queste scansioni possono essere tranquillamente ignorate come rumore di fondo.

    
risposta data 26.02.2015 - 19:19
fonte
0

Sembrano i risultati di una scansione automatizzata come quella offerta da Nikto o uno strumento rilevamento brute-force della scoperta come DirBuster. Questo è un tentativo di identificare / scoprire file e directory sul server e possibilmente fornire una impronta digitale migliore dell'applicazione o rivelare file sensibili . Questo rivela informazioni su quali moduli potresti utilizzare e potrebbero essere utilizzati per sfruttare un attacco più avanzato in un secondo momento o informazioni sensibili a seconda di quali file sono stati trovati. Se i registri delle richieste includono ulteriori richieste quali:

/../../ etc / passwd

../../../../ blah / etc / passwd

questo sarebbe un tentativo di cercare le vulnerabilità Path Traversal.

Di più su, Traversal percorso a: link Nikto: link DirBuster: link

    
risposta data 01.03.2015 - 17:47
fonte

Leggi altre domande sui tag

Come viene distribuito il malware all'interno dei file zip? Come funzionerebbe il motore di ricerca crittografato, un motore di ricerca in cui non sa cosa è stato cercato