En mi sitio web agregué una pequeña función, que registra la IP, la información del cliente / navegador, la ruta y la marca de tiempo.
Hoy revisé mi base de datos y recibí muchas solicitudes extrañas.
Aquí hay algunos de ellos:
¿Alguien más tiene problemas similares, y debo estar preocupado?
No debe preocuparse, a menos que su configuración sea insegura.
Las primeras solicitudes de búsqueda de un juez proxy, como enlace . La segunda tabla muestra los escáneres de vulnerabilidades que buscan aplicaciones configuradas incorrectamente o desactualizadas. Este es un "ruido" bastante normal y afecta a casi cualquier IP dedicada del servidor.
Puedes intentar bloquearlos, pero hay tantos que no vale la pena el esfuerzo. Solo asegúrese de que cualquier página de inicio de sesión tenga un límite razonable en el número máximo de intentos de inicio de sesión en un momento dado y que su software esté actualizado. Además, las cosas como phpmyadmin no deberían ser de acceso público.
la mayoría de los robots están analizando el servidor y el sitio web está expuesto a este tipo de ataques, la mayoría de las veces las soluciones son simples:
este es un método que intenta encontrar el acceso de inicio de sesión mediante el envío de una solicitud de inicio de sesión y luego prueba el resultado, siempre que el resultado no haya iniciado sesión, vuelve a intentar otra combinación de inicio de sesión / contraseña hasta que se otorgue el acceso
dirigido principalmente a internet:
para evitar este tipo de ataques:
lo que necesita saber es que la primera fase de este tipo de ataques en el sitio web es encontrar qué herramientas web utiliza (nombre del CMS, phpmyadmin, ...), una vez que se encuentre la fuerza bruta puede comenzar. Para la aplicación, es más fácil encontrar un simple escaneo de puertos que herramienta del sistema se utiliza.
Hoy en día, la mayoría de las herramientas del sistema están lo suficientemente seguras contra este tipo de ataques, es por eso que hoy en día se enfocan en el sitio web.
muchas personas están usando CMS de código abierto, ya que es un código de código abierto que puede ser explotado. Todo el tiempo se encuentra y está asegurado por el desarrollador, pero no todos los administradores del servidor hacen actualizaciones. Así que una vez que se arregla una brecha, ésta se conoce al público (como Heartbleed, Poodler, ...). Cada vez que los Bots se actualizan con las nuevas informaciones, busque el sitio expuesto a la vulnerabilidad.
para evitar este tipo de ataques:
este es un ejemplo de reglas de bloqueo para el servidor apache:
<Directory />
#Block user agent empty or with suspicious values
RewriteCond %{HTTP_USER_AGENT} ^-?$|\x.*?\x|perl|python [NC,OR]
#Block default folders (optional, but prevent 404 logs)
RewriteCond %{REQUEST_URI} MyAdmin|\/pma\/|\/phpmyadmin| [NC,OR]
#Limit request to thoose requiered
RewriteCond %{REQUEST_METHOD} !^(GET|HEAD|POST)$ [OR]
#blocking request who not start by /
RewriteCond %{REQUEST_URI} !^/
#all thoose redirect to the error code you want, i like to use 406 in my case
RewriteRule .* - [END,R=406]
</Directory>
le gusta que la mayoría de los bots estén bloqueados antes de poder probar el incumplimiento de su sitio web.
Por cierto, si vigila los registros y la contratación de seguridad, puede actualizar las reglas para aumentar las protecciones de los robots.
no teman a los bots o hackers, la mayoría de las veces solo hay 4 cosas principales que proteger:
no olvide las copias de seguridad, puede ser útil!
Sí, parece que alguien está sacudiendo las perillas metafóricas de su sitio web. Es común en la Internet moderna, hay muchas herramientas automatizadas para hacerlo y poco se puede hacer para evitarlo, además de bloquear a los bastardos. En particular, parece que una herramienta automatizada está comprobando si su espacio web puede incluir ciertas herramientas administrativas cuyas versiones anteriores tienen vulnerabilidades conocidas. Estas herramientas son una superficie de ataque común para futuros intentos de penetración.
Por lo general, no debe suponer que el ataque se dirige específicamente a su sitio web hasta que haya razones específicas para pensar lo contrario. También es muy probable que no pueda hacer una buena atribución al verificar el propietario de la dirección IP (lo que, sin embargo, querrá hacer); la mayoría de las exploraciones de vulnerabilidades automatizadas provienen de botnets que se ejecutan en PC zombified (y nodos IOT) en estos días. Si se siente educado, si el tráfico es particularmente alto, o si sabe quién está detrás de las direcciones IP, puede enviarles una carta al respecto; muchas veces, el administrador del sistema local ni siquiera sabe que algunas de sus computadoras se han convertido en zombies. Pero es un poco de trabajo y muchas personas no sienten que valga la pena la molestia. Además, hay muchos administradores que no saben sobre zombies en su red porque no les importa.
Es posible que desee considerar técnicas de mitigación, como el bloqueo automático, cuando las ráfagas de actividad no deseada parecen originarse en una única dirección IP o rango de red. Sin embargo, tenga en cuenta que, en algunos casos, es posible que encuentre extraños robots que rastrean su sitio web como algo bueno. Un ejemplo canónico es asegurar que los motores de búsqueda conozcan los productos maravillosos que su sitio web de comercio electrónico podría ofrecer. También considere los escenarios en los que tales reglas de bloqueo pueden detectar falsos positivos y obstaculizar el tráfico legítimo.
Lea otras preguntas en las etiquetas websites log-analysis