Mediawiki / Nginx / Php en Ubuntu 14.04 está siendo atacado

Navega tus respuestas
0

Tenía un wiki personal configurado con mediawiki en mi servidor con nginx. Recientemente me di cuenta de que todos mis sitios que usaban php (Mediawiki y todos los sitios de Wordpress) no respondían o se agotaban.

Luego encontré muchas solicitudes en mi /var/log/nginx/error.log como esto: 

request: "GET /index.php?title=Benutzer:MikeHofmann54 HTTP/1.1"

y publicaciones: 

 "POST /index.php?title=Special%3ARunJobs&tasks=jobs&maxjobs=1&sigexpiry=1484304501&signature=a39943b5794bdc95b3d874bad2273afadb6bbd01 HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:"

Yo (re) moví el mediawiki pero las solicitudes siguen intentando alcanzar el dominio. Los otros sitios comenzaron a funcionar ya comportarse normalmente de nuevo, pero me preocupa que las solicitudes POST y GET en curso puedan hacer algo perjudicial para mi servidor. ¿O son esos ataques DDOS 'normales'?

No estoy seguro de cómo proceder con la protección de mi servidor.

    
pregunta Gravetow 15.01.2017 - 22:22
fuente

2 respuestas

1

Si tiene un servidor en la Internet pública, se escaneará y sondará. Esto es solo un hecho de la vida y debe informar a la base de su política de seguridad.

Lo más probable es que veas principalmente tres tipos de ataques:

  • Los spammers intentarán hacer comentarios en blogs, editar páginas en wikis y, en general, hacer todo lo posible para obtener enlaces a sus sitios en los tuyos.
  • La gente ejecutará escáneres de vulnerabilidad automatizados que intentarán explotar vulnerabilidades conocidas en software obsoleto y configuraciones deficientes. A veces, este es un primer paso hacia un spamming más destructivo (controla completamente tu sitio), a veces es para hacerte parte de una red de bots, a veces es solo para divertirte.
  • A veces solo obtendrás solicitudes HTTP simples. Estos pueden ser un intento de un ataque DoS, un robot mal configurado, una araña del motor de búsqueda, alguien que archiva su sitio para leerlo sin conexión o un enlace inesperado a su sitio desde reddit, o cualquier otra cosa. Si la intención es buena o no, si no está preparado, esto puede hacer que su sitio sea inaccesible.

Es bastante fácil mitigar la mayor parte de lo que verá en las tres categorías:

  • Mantenga su software actualizado.
  • No use nada que diga "¡Solo para uso de desarrollo!" en producción.
  • Instale un complemento antispam para el sistema de comentarios de su blog.
  • Agregue el almacenamiento en caché de página completa y la limitación de velocidad, ya sea usted mismo (por ejemplo, con Varnish) o mediante un servicio como Cloudflare.

Verás un montón de solicitudes que no te harán nada, porque es fácil decirle a un script que intente todo, en lugar de intentar averiguar a qué es exactamente vulnerable. En su mayor parte, se pueden ignorar, pero vigile su sitio para asegurarse de que un spammer no entre y haga estragos durante meses antes de que se dé cuenta.

    
respondido por el Xiong Chiamiov 15.01.2017 - 23:13
fuente
0

Hay otro riesgo.

En los últimos años, se podría usar un MediaWiki abierto para mejorar el SEO, ya que el correo no deseado se vincularía a las páginas alojadas en su Wiki, que podrían eliminarse después de crecer a un tamaño arbitrario. A continuación, tendrá los enlaces rotos que le regresarán durante los próximos años a medida que se revise el correo electrónico antiguo o el correo no deseado del foro.

Google tiene una visión muy tenue de esto hoy en día, y puede presionarlo activamente en los resultados de búsqueda.

    
respondido por el mckenzm 28.08.2017 - 23:14
fuente

Lea otras preguntas en las etiquetas

Transmitir información encriptada a SaaS utilizando AES Pase el hash para identificarlo como usuario de dominio en lugar de quedarse atascado como NT Authority \ System