¿Por qué recibo solicitudes HTTP extrañas para páginas no existentes?

32

Estoy ejecutando un servidor web y observando lo que solicitan las personas. He estado recibiendo tráfico frecuente como:

GET /phph/php/ph.php HTTP/1.1

o

GET /mrmr/mrm/mr.php HTTP/1.1

¿Son estas exploraciones? ¿Los clientes están comprobando si mi servidor ya está comprometido o si están vulnerables?

Por lo que puedo decir, ya que no alojo tales directorios, dicho tráfico es un escaneo de máquinas comprometidas; No lo sé con seguridad porque creo que no es seguro hacer clic en los enlaces que proporciona Google cuando busco esas cosas.

    
pregunta user2738698 26.02.2015 - 18:51
fuente

4 respuestas

33

Estos tipos de solicitudes espurias son muy, muy comunes. Están mirando para ver si ya está comprometido, o buscan que su servidor arroje un error para recopilar información sobre su servidor (de los mensajes de error).

No eres el único:

enlace

# URL with 404 errors - Hits - Last URL referer
BEGIN_SIDER_404 193
/admin.php 1 -
/root/back.css 1 -
/drdr/drd/dr.php 2 -
/hkhk/hkh/hk.php 1 -
/wp/2011/07/19/&amp 6 -
/ahah/aha/ah.php 1 -
/andro/back.css 1 -
/wp/comments/feed/ 1 -
/wjwj/wjw/wj.php 1 -

Todos recibimos spam por estas solicitudes.

    
respondido por el schroeder 26.02.2015 - 19:21
fuente
12

El atacante intenta averiguar si tiene instalado cierto software web creado previamente al solicitar archivos que son típicos para ellos.

Cuando descubren que usas, por ejemplo, wordpress o phpbb o mediawiki, pueden intentar usar exploits específicos para estas aplicaciones para controlar tu sitio.

La mejor medida para contrarrestar esto es evitar la instalación de demasiado software en su servidor web y mantener el software que ha instalado siempre actualizado.

    
respondido por el Philipp 26.02.2015 - 19:27
fuente
10

Sí, esos son análisis.

Si Google esos strings verá que aparecen en los registros web de numerosos sitios en Internet, generalmente sitios webhost económicos que ponen sus registros hasta donde Google pueda verlos. Esta es una indicación suficiente de que alguna herramienta está rastreando para esa URL.

No hay suficiente información para indicar qué debe hacer el análisis, probablemente simplemente para ayudar a determinar si PHP es compatible y, de ser así, cómo trata el servidor con una URL no válida para PHP.

Estas exploraciones probablemente se pueden ignorar de forma segura como ruido de fondo.

    
respondido por el gowenfawr 26.02.2015 - 19:19
fuente
0

Se parecen a los resultados de un análisis automatizado como el que ofrece Nikto o una herramienta de descubrimiento de fuerza bruta del directorio como DirBuster. Este es un intento de identificar / descubrir archivos y directorios en su servidor y posiblemente proporcionar una mejor huella digital de la aplicación o revelar archivos confidenciales . Esto revela información sobre lo que módulos u podría estar utilizando y podría usarse para aprovechar un ataque más avanzado más adelante o información confidencial según los archivos que se encuentren. Si los registros de solicitud incluyen más solicitudes como:

/../../etc/passwd

../../../../blah/etc/passwd

este sería un intento de buscar vulnerabilidades de ruta de acceso.

Más sobre, Travesía de ruta en: enlace Nikto: enlace DirBuster: enlace

    
respondido por el Aatif Shahdad 01.03.2015 - 17:47
fuente

Lea otras preguntas en las etiquetas