이 이상한 액세스 요청은 무엇입니까?


9

테스트 및 개발을 위해 컴퓨터에서 WAMPServer를 사용하고 있습니다. 나는 며칠 동안 온라인으로 잊어 버렸고 내 IP조차도 아닌 임의의 무작위 요청을 발견했습니다. 여기 몇 가지 예가 있어요.

77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335

이 58.218.199.250 IP의 많은 것이 있습니다.

내가 알아 낸 또 다른 IP가 데이터베이스 관리자에 액세스하려고했습니다.

200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222

그리고 이것이이 IP가하는 전부입니다. 권한이 로컬 전용이므로 404를 반환했습니다. 물론이 모든 IP는 브라질, 중국 및 러시아에서 온 것입니다 ... 무작위 요청에 대해 걱정해야합니까, 아니면 정상입니까? 이 봇이나 크롤러입니까?

답변:


16

우리가 직면 한 모든 공개 서버에서 완벽하게 정상적이고 예상됩니다. 당신이보고있는 것은 알려진 약점을 사용하여 시스템에 액세스하려는 표준 스크립트 시도의 결과입니다. 하루에 단일 소스에서 수백 또는 수천 건의 이러한 요청을 보는 것은 드문 일이 아닙니다.

소프트웨어를 최신 상태로 유지하고 실용적으로 잠금 상태를 유지하는 것이 중요한 이유를 잘 보여줍니다. 또한 강력한 암호를 사용하십시오. 적절한 액세스 포인트를 찾으면 일반적으로 간단한 사전 공격으로 시작하여 계정 액세스 시도를 볼 수 있습니다.


어떻게 로그 파일을 더 장황하게 만들 수 있습니까?
Max Muster

4

내 서버에서 항상 이런 종류의 로그를 얻습니다. 그리고 저는 해킹 및 침입 시도를 비난하는 사람이므로 일반적으로 이러한 침입 공격을 http://www.us-cert.gov의 미국 컴퓨터 긴급 대응 팀에보고합니다 . 물론 이러한 공격은 "보안 전문가"가되는 것을 배우는 사람으로 만 이해 될 수 있지만 내 서버가 아닌 자체 네트워크에서 실험 할 수 있습니다.

일반적으로 http://www.iana.org/numbers에 나열된 웹 사이트를 통해 IP 주소를 실행합니다 .

이것은 ISP 비즈니스 정보와 해커 ISP로부터의 "남용"이메일을 제공합니다. 나는 그들에게 내 로그의 사본, 보고서의 확인 번호를 US-CERT에 보낸다. 스팸 헤더 정보의 IP 주소를 사용하여 스팸을 차단하는 데 거의 100 % 효과가있었습니다.

또한 해당 ISP의 모든 트래픽을 거부하는 서버에 대한 특정 코드 줄을 만듭니다.

내 서버에서 "xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx에서 거부"또는 "location.location.ru"에서 거부 ( "x"또는 "location.location.ru"는 시작 및 해당 ISP의 끝 IP 스펙트럼 (공백으로 구분됨-따옴표 없음-IP 거부 또는 차단에 대한 서버 설명서를 검토하십시오) IANA 웹 사이트 (WHOIS 검색)에 나열된 ISP 정보 맨 위에서 ISP 주소 스펙트럼을 찾을 수 있습니다.

그러면 해당 ISP의 모든 트래픽이 차단됩니다. 꼼꼼한! 이것은 급진적 인 움직임이므로이 절차는 해당 ISP에서 발생하는 수만 건의 잠재적 인 조회를 차단할 수 있지만, 저는 미국에 있고 로컬 페이지를 제공하므로 중국이나 러시아에서 오는 트래픽은 아무 의미가 없습니다. 나에게. 내 웹 사이트 중 일부에서 홍콩 또는 프라하의 절반을 차단하는 것은 마음에 들지 않습니다.

행운을 빕니다,이 정보가 도움이되기를 바랍니다. 항상 좋은 보호를 사용하십시오 :)


2
이 접근 방식이 대규모로 다루기가 어려울 것이라고 생각합니다.
Katherine Villyard

3

이러한 시도는 실패하고 있습니다 (적어도 DB 액세스 평가판). 이러한 유형의 요청을받는 것이 정상입니다. 중요한 점은 데이터베이스 및 기타 중요한 파일이 이러한 시도로부터 보호되도록하는 것입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.