Mi sitio web está siendo atacado, ¿debería preocuparme ver los registros?

Question

Mi sitio web está siendo atacado, ¿debería preocuparme ver los registros?

#1 de Trey Blalock (2 votos)
#2 de akg (0 votos)

2

Recientemente, acabo de verificar mi servidor y encontré en los registros que está siendo atacado. Al ver los registros no puedo averiguar exactamente, si realmente debería preocuparme. Revisé la clasificación del dominio del atacante en las operaciones, no es bueno. Los tejidos son los registros de la solicitud recibida:

31.210.102.114 - - [04/Mar/2017:16:31:37 +0000] "GET / HTTP/1.0" 200 2095 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 54 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:33 +0000] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:34 +0000] "GET /pma/scripts/setup.php HTTP/1.1" 404 34 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:34 +0000] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:35 +0000] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /SQL/scripts/setup.php HTTP/1.1" 404 34 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /myAdmin/scripts/setup.php HTTP/1.1" 404 38 "-" "ZmEu"
190.248.156.50 - - [04/Mar/2017:16:53:36 +0000] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 404 41 "-" "ZmEu"
46.229.164.99 - - [04/Mar/2017:17:42:46 +0000] "GET /robots.txt HTTP/1.1" 404 23 "-" "Mozilla/5.0 (compatible; SemrushBot/1.2~bl;
+http://www.semrush.com/bot.html)"

information-gathering

pregunta user3856170 04.03.2017 - 20:37

fuente

2 respuestas

2

Configure Fail2Ban , o su equivalente, para monitorear sus weblogs y bloquear la IP automáticamente Dirección de personas que hacen cosas como esta . Siempre vigile sus registros, pero tenga planes para saber qué hacer cuando suceden cosas.

En algunos casos, todos los sistemas de Internet obtienen escaneos como estos casi a diario, si no cada hora. Aprenda a fortalecer su servidor y sus aplicaciones para que no tenga que preocuparse y pruébelo con todo lo que pueda. Hay mucho para hacer bien la seguridad, pero las herramientas como Fail2Ban pueden ayudar mucho.

enlace

respondido por el Trey Blalock 04.03.2017 - 20:44

fuente

Lea otras preguntas en las etiquetas information-gathering

¿Hay alguna forma de evitar que sea derrotado por un ataque SS7 en Android? gpg4win kleopatra no solicita una frase de contraseña en las siguientes ejecuciones

score 0 · Accepted Answer

El geoiplookup de IPs dice:

➜  ~ geoiplookup 31.210.102.114
GeoIP Country Edition: TR, Turkey
GeoIP City Edition, Rev 1: TR, N/A, N/A, N/A, N/A, 41.013599, 28.954901, 0, 0
GeoIP ASNum Edition: AS197328 INTER NET BILGISAYAR TURIZM TIC LTD STI
➜  ~ geoiplookup 190.248.156.50
GeoIP Country Edition: CO, Colombia
GeoIP City Edition, Rev 1: CO, 02, Antioquia, Medellín, N/A, 6.251800, -75.563599, 0, 0
GeoIP ASNum Edition: AS13489 Telecomunicaciones S.A. E.S.P.
➜  ~ geoiplookup 46.229.164.99
GeoIP Country Edition: US, United States
GeoIP City Edition, Rev 1: US, VA, Virginia, Ashburn, 20147, 39.033501, -77.483803, 511, 703
GeoIP ASNum Edition: AS39572 DataWeb Global Group B.V.

La primera consulta tiene el User-Agent masscan que es:

El escáner de puerto TCP, emite paquetes SYN de forma asíncrona, escanea todo Internet en menos de 5 minutos.

User-Agent se puede falsificar, por supuesto, pero ¿por qué lo modificarías a la UA de un escáner de puerto?

La segunda parte utiliza ZmEu que dice ser un escáner de vulnerabilidad rumana.

La tercera parte afirma ser SemrushBot y tiene solo una consulta, el robots.txt. Esto parece legítimo según su sitio web y no parece un ataque en absoluto.

Puede bloquear estas direcciones IP (también hay soluciones automatizadas para eso), o puede bloquear rangos completos de direcciones IP, hay muchas listas disponibles para este propósito (por ejemplo: enlace ).

Sin embargo, no estaría preocupado, parece un tráfico de fondo normal. Sin embargo, preste atención a la actualización de su software, ya que pueden encontrar y explotar una vulnerabilidad conocida por el público.