Mediawiki / Nginx / Php su Ubuntu 14.04 viene attaccato

Naviga le tue risposte
0

Ho installato un wiki personale con mediawiki sul mio server con nginx. Recentemente ho notato che tutti i miei siti che utilizzavano PHP (Mediawiki e tutti i siti Wordpress) non rispondevano o non erano scaduti.

Poi ho trovato molte richieste nel mio /var/log/nginx/error.log in questo modo: 

request: "GET /index.php?title=Benutzer:MikeHofmann54 HTTP/1.1"

e post: 

 "POST /index.php?title=Special%3ARunJobs&tasks=jobs&maxjobs=1&sigexpiry=1484304501&signature=a39943b5794bdc95b3d874bad2273afadb6bbd01 HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:"

Ho (ri) spostato il mediawiki ma le richieste continuano a cercare di raggiungere il dominio. Gli altri siti hanno iniziato a funzionare e si comportano normalmente di nuovo, ma sono preoccupato che le continue richieste POST e GET possano fare qualcosa di dannoso per il mio server. O sono quegli attacchi 'normali' DDOS?

Non sono sicuro di come procedere con la protezione del mio server.

    
posta Gravetow 15.01.2017 - 22:22
fonte

2 risposte

1

Se hai un server su internet pubblico, verrà scansionato e analizzato. Questo è solo un fatto della vita e dovrebbe informare la base della tua politica di sicurezza.

Probabilmente vedrai principalmente tre tipi di attacchi:

  • Gli spammer proveranno a fare commenti sui blog, a modificare le pagine sui wiki e in generale a fare tutto il possibile per ottenere collegamenti ai loro siti sui tuoi.
  • Le persone eseguiranno scanner automatici di vulnerabilità che tentano di sfruttare vulnerabilità note in software obsoleti e configurazioni scadenti. A volte questo è un primo passo verso uno spamming più distruttivo (occupati completamente del tuo sito), a volte è per farti diventare parte di una botnet, a volte è solo per divertimento.
  • A volte ottieni solo semplici richieste HTTP. Questi possono essere un tentativo di attacco DoS, un bot mal configurato, uno spider di motori di ricerca o qualcuno che archivia il tuo sito per leggerlo offline, o un collegamento inaspettato al tuo sito da reddit, o un numero qualsiasi di altre cose. Se l'intenzione è buona o no, se non sei preparato, questo può rendere il tuo sito inaccessibile.

È abbastanza facile attenuare la maggior parte di ciò che vedrai in tutte e tre queste categorie:

  • Tieni il tuo software aggiornato.
  • Non usare nulla che dice "Solo per lo sviluppo!" in produzione.
  • Installa un plug-in anti-spam per il tuo sistema di commenti sul blog.
  • Aggiungi caching a piena pagina e limitazione della velocità, sia tu stesso (ad esempio con Varnish) o attraverso un servizio come Cloudflare.

Vedrai un sacco di richieste che non ti faranno nulla, perché è facile dire a uno script di provare semplicemente tutto, piuttosto che cercare di capire a cosa sei vulnerabile. Per la maggior parte, questi possono essere ignorati, ma tieni d'occhio il tuo sito per assicurarti che uno spammer non entri in azione e faccia danni per mesi prima che tu lo noti.

    
risposta data 15.01.2017 - 23:13
fonte
0

C'è un altro rischio.

Negli anni passati un open MediaWiki potrebbe essere usato per potenziare il SEO, in quanto lo spam verrebbe ricollegato alle pagine ospitate sul tuo Wiki, che potrebbe essere eliminato dopo aver raggiunto dimensioni arbitrarie. Avrai quindi dei link non funzionanti che ti torneranno per anni a venire, mentre vengono esaminati vecchi messaggi e-mail o spam del forum.

Al giorno d'oggi, Google ne ha una visione molto debole e potrebbe spingere attivamente verso il basso nei risultati di ricerca.

    
risposta data 28.08.2017 - 23:14
fonte

Leggi altre domande sui tag

Sfruttare un buffer overflow nel terminale ubuntu [chiuso] Prevenire gli "attacchi" del telecomando su televisori, proiettori e decoder