Mi servidor Apache es desafiado regularmente con ataques de vulnerabilidad: ¿Debo preocuparme?

Navega tus respuestas
3

Cuando miro en mis registros de acceso: encuentro muchas actividades sospechosas que parecen intentos de obtener acceso administrativo a mi sistema usando vulnerabilidades de productos de software web conocidos como WordPress, Joomla, PhpBB, etc. ninguno de estos programas está instalado, y solo está ejecutando mi propio software no publicado (código cerrado).

Sin embargo, estoy ejecutando (y usando) PhpMyAdmin. También detecto varios intentos de intrusión, pero parecen no tener éxito: como solo se han realizado algunas solicitudes por intento, respondí con un error 404 o 401.

Aquí hay una lista de entradas sospechosas seleccionadas aleatoriamente en mi registro de acceso (direcciones IP eliminadas): 

0.0.0.0 - - [09/Mar/2016:17:10:30 +0100] "GET /CFIDE/administrator/ HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [09/Mar/2016:14:54:02 +0100] "GET http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.6554975758995777 HTTP/1.1" 404 1053 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"
0.0.0.0 - - [07/Mar/2016:23:29:52 +0100] "GET /muieblackcat HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:52 +0100] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:53 +0100] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:54 +0100] "GET //pma/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:54 +0100] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:23:29:55 +0100] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 1057 "-" "-"
0.0.0.0 - - [07/Mar/2016:21:42:52 +0100] "GET /wordpress/ HTTP/1.1" 404 1060 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2563.97 Safari/527.26"
0.0.0.0 - - [07/Mar/2016:15:02:32 +0100] "GET //admin/scripts/setup.php HTTP/1.1" 401 1310 "-" "-"
0.0.0.0 - - [07/Mar/2016:15:02:32 +0100] "GET //admin/pma/scripts/setup.php HTTP/1.1" 401 1314 "-" "-"
0.0.0.0 - - [07/Mar/2016:15:02:33 +0100] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 401 1321 "-" "-"
0.0.0.0 - - [29/Feb/2016:10:02:03 +0100] "GET /administrator/ HTTP/1.1" 406 - "http://mydomain.com/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"
0.0.0.0 - - [29/Feb/2016:00:09:34 +0100] "GET http://24x7-allrequestsallowed.com/?PHPSESSID=aab45f4f00143PRZJW%5EHYCMFUAZ HTTP/1.1" 200 178 "-" "-"
0.0.0.0 - - [28/Feb/2016:20:10:11 +0100] "GET /wp-login.php HTTP/1.1" 406 - "http://mydomain.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

¿Debo preocuparme por la privacidad y seguridad de mis clientes? Si es así: ¿Debo presentar un informe policial?

    
pregunta Alexander Johansen 11.03.2016 - 12:07
fuente

2 respuestas

5

A mí me parece que el ruido de fondo es normal. Todos los servicios dirigidos fueron conocidos históricamente por tener vulnerabilidades de seguridad, lo que resultó en un compromiso del servidor. La mayoría de estos problemas se han solucionado en versiones posteriores, pero los atacantes siguen explorándolos regularmente para evitar que puedan secuestrar más servidores con fines dudosos.

Si todos dieron 40x errores, no lo lograron, por lo que no debería haber ninguna preocupación directa por los datos de sus clientes. Puede haber formas en su servidor, pero generalmente habrían recibido una respuesta de 20x: cosas como la inyección SQL a menudo solo devuelven datos inesperados, usando un método esperado (como una página web).

Dudaría que la policía tuviera algún interés en esto, lo más probable es que la IP de escaneo pertenezca a un tercero cuyo servidor estaba ejecutando una de esas aplicaciones vulnerables, por lo que las posibilidades de vincular al atacante real son escasas.

Si le preocupa este tipo de escaneo, considere bloquear manualmente las direcciones IP que lo realizan, pero tenga en cuenta que puede terminar bloqueando usuarios legítimos como efecto secundario.

    
respondido por el Matthew 11.03.2016 - 12:24
fuente
0

OMI vale la pena revisar los archivos de registro para eso. Le proporciona una buena descripción general de qué tipo de sitios web o software está siendo atacado actualmente.

Si tiene un servidor Linux y desea evitar ese tipo de acceso, puede usar una herramienta como fail2ban para bloquear automáticamente las direcciones IP relacionadas.

Una mirada en mis registros del servidor web me muestra todos los días, que nunca instalaré, por ejemplo, phpMyAdmin en un servidor web público.

    
respondido por el OkieOth 11.03.2016 - 12:45
fuente

Lea otras preguntas en las etiquetas

¿Hay beneficios al usar una red de confianza parcial si se usa una VPN? ¿El uso del mismo servidor de correo y web aumenta el riesgo de DDos debido a la exposición de IP?