Registros impares del servidor

Navega tus respuestas
0

Tengo una aplicación web ejecutando usando Django. Hace poco activé un middleware que supuestamente me avisa de 404 donde el referente está dentro de mi dominio (supuestamente indica un 404 que es mi culpa).

Sin embargo, hoy recibí 34 solicitudes de URL que no existen, todas de la variedad de inicio de sesión. Algunos ejemplos: 

/signup
/user/register
/sign_up.html
/tools/quicklogin.one
/member/join.php
/index.php?do=/user/register/
/index.php?action=registernew
/index.php?option=com_registration&task=register
etc.

Todos los 404 parecen estar relacionados con el inicio de sesión, y todos tienen la misma IP y agente de usuario:

Agente de usuario: Mozilla / 4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;) Dirección IP: 10.122.71.83

Ninguna de estas direcciones URL existe en mi código base, demonios, estoy usando Django no PHP, por lo que no es alguien que haga clic en un enlace roto (mi página de inicio de sesión está en / login y mi página de registro en / register) ¿Es esto solo una rastreador que necesito para configurar mejor o algo malicioso?

¡Gracias!

    
pregunta jmetz 02.03.2013 - 03:02
fuente

3 respuestas

2

Este parece ser un programa que se ejecuta en algunos PC de script kiddies, que está probando sitios al azar para detectar qué CMS están ejecutando, para ver si ese sistema es vulnerable a la inyección de SQL o cualquier otra cosa, y luego explotarlo automáticamente , o pasar la información a la persona que ejecuta el programa.

Básicamente, solo un script que busca una forma de acceder a tu backend, pero siempre que tu sitio sea seguro, no hay nada de qué preocuparse.

    
respondido por el Liam Jack 02.03.2013 - 04:10
fuente
1

Si le preocupan los 404 donde se especifica referer , simplemente espere hasta que vea los 404 donde no se establece referer . (Habrá muchos más)

La verdad es que desde el momento en que conectas tu servidor web a Internet, los bots intentarán escanear tu servidor en busca de servidores proxy y otras vulnerabilidades para que puedan explotarlo y enviar malware a tus usuarios finales. Esto es común y se detecta al ver 404 entradas en su registro.

Lo que debe hacer es asegurarse de que su servidor esté parcheado cuando lo exponga a Internet y de que se actualice cuando se implementen nuevas actualizaciones. Estos robots están intentando explotar servidores que han sido descuidados o no han sido reforzados por la seguridad.

Además, debe saber que referer no es un campo seguro y se puede falsificar. Esto es probablemente lo que está pasando. Puedo ver cómo supondría lógicamente que esto proviene de su propio sitio, pero no es un campo en el que se pueda confiar por razones de seguridad ... aunque es útil encontrar enlaces en los que los usuarios hacen clic y se envían a una página. encontró.

Como anécdota, los registros del servidor web deben indicar la IP de origen del usuario que está iniciando la acción. Si es una dirección interna (mencionas una dirección 10.x en nuestra publicación), es posible que el usuario esté en tu subred y tenga un virus que esté escaneando tu servidor.

Debes hacer una búsqueda en Google para la cadena UserAgent, ya que muchos webmasters están mirando sus registros de la misma manera que tú. Aquí hay un ejemplo.

Línea inferior: Si su servidor está parcheado y los enlaces no tienen relevancia para su sitio, debe ignorarlos o bloquear su IP.

    
respondido por el random65537 02.03.2013 - 03:43
fuente
0

Usando una herramienta llamada OSSEC , un famoso HIDS conocido por Trend Micro, no solo puede identificar, sino bloquear estos intentos. Al encaminar estos intentos a la ruta de agujero negro nula. Te mostraré cómo.

Agregando respuesta activa ∞ 

  <!-- Active response to block http scanning -->
<active-response>
    <command>route-null</command>
    <location>local</location>
<!-- Multiple web server 400 error codes from same source IP -->
    <rules_id>31151</rules_id>
    <timeout>600</timeout>
</active-response

Probando nueva respuesta activa ∞

$ bin / agent_control -L

OSSEC HIDS agent_control. Respuestas activas disponibles:

Nombre de la respuesta: route-null600, comando: route-null.sh

Ahora probamos la respuesta en uno de los clientes OSSEC.

$ bin / agent_control -b 2.3.4.5 -f route-null600 -u 083

OSSEC HIDS agent_control: Ejecutando la respuesta activa 'route-null600' en: 083 

The above blocks IP 2.3.4.5 using active-response route-null600 on agent 083.

Para verificar que la respuesta se ejecutó correctamente en el aspecto del cliente en /var/ossec/logs/active-responses.log para algo similar a esto, 

active-response/bin/route-null.sh add - 2.3.4.5 (from_the_server) (no_rule_id)

Ahora para verificar la adición a la tabla de rutas 

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
2.3.4.5

y también otra verificación 

# ip route get 2.3.4.5
RTNETLINK answers: Network is unreachable
    
respondido por el Saladin 02.03.2013 - 08:51
fuente

Lea otras preguntas en las etiquetas

protección DDOS para el servidor de mensajería instantánea ¿Es seguro TLS cuando ocurre una escucha completa en la red? [duplicar]