php-fpm.log muestra una gran cantidad de intentos inusuales de abrir un script primario con nombres de archivo aleatorios [duplicado]

2

Hace poco inspeccioné mi php-fpm.log y encontré muchas actividades sospechosas que parecen intentos maliciosos de obtener acceso a mi host. Aquí están algunos de los registros:

[07-Oct-2018 22:01:31] WARNING: [pool www] child 4190 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/1.php (No such file or directory)"
[07-Oct-2018 22:01:31] WARNING: [pool www] child 2955 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/a.php (No such file or directory)"
[07-Oct-2018 22:01:31] WARNING: [pool www] child 3003 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/m.php (No such file or directory)"
[07-Oct-2018 22:01:32] WARNING: [pool www] child 4677 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/conf.php (No such file or directory)"
[07-Oct-2018 22:01:32] WARNING: [pool www] child 4667 said into stderr: "ERROR: Unable to open primary script: /data/wwwroot/default/123.php (No such file or directory)"

Está intentando abrir varios nombres aleatorios en mi carpeta web, y me pregunto cómo puedo averiguar la fuente de la actividad y cómo detenerla.

    
pregunta michaeledi 20.10.2018 - 12:32
fuente

1 respuesta

0

Este es un ataque al que OWASP se refiere como Navegación forzada . El atacante tiene un diccionario de palabras, frases, etc. que van a probar en servidores aleatorios para encontrar los archivos php que existen, pero no están directamente referenciados por enlaces u otros scripts en su sitio.

El objetivo de esto es identificar posibles archivos PHP vulnerables. Los nombres de archivo como a, b, o 123 podrían indicar un código que aún estaba en desarrollo y que se olvidó. El código en desarrollo podría filtrar información en las salidas de depuración.

Conf.php está buscando scripts destinados a la configuración inicial de una aplicación web, que se intentó eliminar después de la configuración, pero no lo hizo.

Estos tipos de ataques son extremadamente fáciles de realizar y, por lo general, no indican que eres el objetivo de una amenaza avanzada. Los compararía con el escaneo de puertos, donde un atacante solo intenta unos cuantos archivos comunes con todos y ve si se devuelve algo interesante.

Dependiendo del servidor web que esté utilizando, es posible que desee instalar un módulo o configurarlo de una manera que limite la cantidad de 404 que devuelve a una IP particular en un tiempo específico.

    
respondido por el Daisetsu 21.10.2018 - 00:23
fuente

Lea otras preguntas en las etiquetas