it-swarm.dev

Strane richieste al web server

Ho un Linode VPS con Nginx, che attualmente serve solo contenuti statici.

Una volta stavo guardando il registro e ho notato alcune strane richieste:

XXX.193.171.202 - - [07/Aug/2013:14:04:36 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 142 "-" "Morfeus Fucking Scanner"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.221.207.157 - - [07/Aug/2013:22:04:20 +0400] "\x80w\x01\x03\x01\x00N\x00\x00\x00 \x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-"
XXX.221.207.157 - admin [07/Aug/2013:22:04:21 +0400] "GET /HNAP1/ HTTP/1.1" 404 142 "http://212.71.249.8/" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/xxx.x (KHTML like Gecko) Safari/12x.x"

Dovrei preoccuparmi che qualcuno stia cercando di hackerare il mio server in questo caso?

53
Michael Pankov

Sembra che il tuo server sia il bersaglio di un attacco automatico che coinvolge scanner ZmE .

La prima richiesta sembra provenire da un altro attacco automatico che coinvolge Morfeus Scanner .

L'ultima richiesta sembra essere un tentativo di sfruttare le vulnerabilità nelle implementazioni HNAP (Home Network Administration Protocol) dei router D-Link. Ulteriori informazioni sull'attacco sono disponibili qui .

Da uno sguardo cusory alla richiesta che sta facendo, direi che non hai nulla di cui preoccuparti se non stai eseguendo phpmyadmin sui tuoi sistemi. Tali attacchi sono all'ordine del giorno per i server connessi a Internet e le scansioni stanno ottenendo 404 che indicano che il tuo server non ha quello che stanno cercando.

68
user10211

Ogni server connesso a Internet riceverà centinaia di "strane richieste". La maggior parte proviene da botnet automatiche che tentano di replicarsi, trovando macchine che presentano una vulnerabilità specifica. Provano indirizzi IP casuali (dopotutto ci sono solo quattro miliardi di possibili indirizzi IP). Quindi , qualcuno sta cercando di entrare nel tuo server, ma quel "qualcuno" è un automa senza cervello che non ha nulla contro tu , in particolare.

Direi che se trovi le voci del registro, l'attacco non ha funzionato , quindi non devi preoccuparti di loro. Quando l'attacco ha esito positivo, la prima cosa che fa l'attaccante è rimuovere le sue tracce dai file di registro.

Ciò evidenzia la massima necessità di installare correzioni di sicurezza, poiché ogni server online è, per costruzione, esposto e sarà preso di mira da tali attacchi casuali ad un certo punto .

32
Tom Leek

se si desidera bloccare scanner noti, è possibile utilizzare WAF basato su nginx naxsi + doxi-rules ; questi scanner sono ampiamente conosciuti

doxi + naxsi in action