Log muestra muchos resultados de contenido no existente: ¿piratería?

2

Tengo un sitio web con Joomla y 404shSEF instalado. El componente registra todas las solicitudes 404 y el registro es realmente interesante. El sitio está recibiendo solicitudes de componentes y también un archivo llamado: "7c334.php". Aquí un ejemplo:

wp-admin/admin-ajax.php
wp-content/plugins/contus-video-gallery/hdflvplayer/download.php
wp-content/plugins/document_manager/views/file_download.php
wp-content/themes/antioch/lib/scripts/download.php
wp-content/themes/epic/lib/scripts/download.php
wp-content/themes/trinity/lib/scripts/download.php
ftpchk3.php
image?format=raw&id=30&type=img&view=image
image?format=raw&id=31&type=img&view=image
image?format=raw&id=45&type=img&view=image
images/post.php
images/stories/explore.php
images/stories/petx.php
modules/7c334.php
modules/7c34.php
modules/mod_banners/sysm.php
modules/mod_search/tmpl/index.php
modules/mod_xsystemx/7c334.php
modules/mod_xsystemx/7c34.php

¿Es este comportamiento de "escaneo normal" o debería preocuparme? Las contraseñas son seguras, o al menos deberían ser lo suficientemente sólidas en el sitio, y los scripts son siempre reales. ¿Se hacen estas solicitudes a todos los sitios web? He escaneado el sitio en sucuri y todo parece normal.

    
pregunta Owl 18.05.2015 - 09:45
fuente

2 respuestas

3

Ese es el ruido de fondo de Internet: un robot que busca las interfaces de administración más utilizadas, las páginas y el software potencialmente vulnerables y las conocidas puertas traseras de PHP.

En sí mismo, esto no le da ninguna indicación sobre el estado de su servidor : simplemente le dice que un robot lo exploró en busca de un punto de entrada de PHP común. No indica si se encontró alguno, si alguno de los puntos de entrada (potencialmente) detectados es explotable, si alguno de los puntos de entrada (potencialmente) vulnerables se explotó con éxito ni la extensión de cualquier infracción (potencial).

    
respondido por el Stephane 18.05.2015 - 09:59
fuente
0

Como usted tiene un sitio web, estará acostumbrado a tales solicitudes en su archivo de registro. Los bots o alguien han escaneado manualmente los archivos en su servidor, probablemente en la lista de archivos 'comprometidos'.

Si tuvieras uno de esos, intentarían inyectar algo o explotar el archivo.

  

¿Es este comportamiento de "escaneo normal" o debería preocuparme?

Todos los administradores web seguramente pueden decir que se está "normalizando". ¿Preocupado? Un poco, especialmente si no actualizas.

    
respondido por el pbalazek 18.05.2015 - 13:58
fuente

Lea otras preguntas en las etiquetas