Perché ricevo strane richieste HTTP per pagine non esistenti?

Naviga le tue risposte
32

Gestisco un server web e guardo ciò che le persone richiedono. Ho ricevuto traffico frequente come: 

GET /phph/php/ph.php HTTP/1.1

o 

GET /mrmr/mrm/mr.php HTTP/1.1

Queste sono le scansioni? I client verificano se il mio server è già compromesso o controllano se sono vulnerabile?

Per quanto posso dire, dal momento che non ospita tali directory, tale traffico è una scansione per macchine compromesse; Non lo so per certo perché penso che non sia sicuro fare clic sui link forniti da Google quando eseguo una ricerca per tali elementi.

    
posta user2738698 26.02.2015 - 18:51
fonte

4 risposte

33

Questi tipi di richieste spurie sono molto, molto comuni. Stanno cercando di vedere se sei già compromesso, o se stai cercando di ottenere un errore nel tuo server per raccogliere informazioni sul tuo server (dai messaggi di errore).

Non sei l'unico:

link 

# URL with 404 errors - Hits - Last URL referer
BEGIN_SIDER_404 193
/admin.php 1 -
/root/back.css 1 -
/drdr/drd/dr.php 2 -
/hkhk/hkh/hk.php 1 -
/wp/2011/07/19/&amp 6 -
/ahah/aha/ah.php 1 -
/andro/back.css 1 -
/wp/comments/feed/ 1 -
/wjwj/wjw/wj.php 1 -

Tutti riceviamo spam da queste richieste.

    
risposta data 26.02.2015 - 19:21
fonte
12

L'utente malintenzionato cerca di scoprire se si dispone di un determinato software Web preinstallato richiedendo i file che sono tipici per loro.

Quando scoprono che usi, ad esempio, wordpress o phpbb o mediawiki, possono quindi provare a utilizzare gli exploit specifici di queste applicazioni per rilevare il tuo sito.

La migliore contromisura contro questo è evitare di installare troppo software sul server web e mantenere il software che hai installato sempre aggiornato.

    
risposta data 26.02.2015 - 19:27
fonte
10

Sì, quelle sono scansioni.

Se Google quelli stringhe vedrai che compaiono nei log web di numerosi siti su Internet, di solito siti web di basso costo che mettono i loro log dove Google può vederli. Questa è una indicazione sufficiente del fatto che alcuni strumenti eseguono la pesca alla traina per quell'URL.

Non ci sono abbastanza informazioni per indicare che cosa si intende fare con la scansione - probabilmente semplicemente per aiutare a determinare se PHP è supportato e in tal caso in che modo il server gestisce un URL non valido per PHP.

Probabilmente queste scansioni possono essere tranquillamente ignorate come rumore di fondo.

    
risposta data 26.02.2015 - 19:19
fonte
0

Sembrano i risultati di una scansione automatizzata come quella offerta da Nikto o uno strumento rilevamento brute-force della scoperta come DirBuster. Questo è un tentativo di identificare / scoprire file e directory sul server e possibilmente fornire una impronta digitale migliore dell'applicazione o rivelare file sensibili . Questo rivela informazioni su quali moduli potresti utilizzare e potrebbero essere utilizzati per sfruttare un attacco più avanzato in un secondo momento o informazioni sensibili a seconda di quali file sono stati trovati. Se i registri delle richieste includono ulteriori richieste quali:

/../../ etc / passwd

../../../../ blah / etc / passwd

questo sarebbe un tentativo di cercare le vulnerabilità Path Traversal.

Di più su, Traversal percorso a: link Nikto: link DirBuster: link

    
risposta data 01.03.2015 - 17:47
fonte

Leggi altre domande sui tag

Problema di installazione di Veil-E Come avviare il server per SQLiPy manualmente e in Burp?