Los registros del servidor web muestran que alguien está intentando piratear mi sitio, ¿qué debo hacer?

Sugiero simplemente ignorarlo, no vale la pena. Hay demasiadas máquinas infectadas por ahí.

Si tiene demasiado tiempo a mano, puede hacer una whois query en la ip- dirección. Luego, comuníquese con el ISP y dígales que tienen un cliente infectado. La dirección de correo electrónico de contacto suele ser el dominio "abuse @".

En este caso, whois 83.140.8.18 incluso devuelve un comentario que dice:

  

En caso de abuso, envíe un correo a abuse (at) rixtelecom.se

No me molestaría en ir con la policía. Este es un escaneo común en su IP que le sucede a la mayoría de las IP públicas que se encuentran por ahí.

Como dice Hendrik Brummermann, puede valer la pena informar la IP al departamento de abusos del ISP.

También puede bloquear la IP agregando una ruta a / dev / null desde esa IP o bloqueándola en el firewall.

Póngase en contacto con el ISP del usuario, como todos dijeron.

También puede usar el conocimiento de este ataque en particular para fortalecer su seguridad y ajustar las reglas del firewall. Al igual que limitar el número de solicitudes a la misma página por IP única o así sucesivamente. Muchos ejemplos en google deberían ayudarte a determinar cuál es el mejor para ti.

Esto debería abordar futuros ataques y reducir el ancho de banda utilizado.

No veo nada ilegal aquí. Si desea informar a todos los que consultan una ruta no existente, en el futuro estará muy ocupado.

Su ISP se reirá de ti.

Parece una sonda automatizada para obtener información sobre lo que podría estar ejecutándose en su servidor. Como se mencionó anteriormente, no vale la pena ir a la policía e informarles al correo electrónico de abuso de su ISP.

Me sentí obligado a responder cuando la respuesta principal sugirió ignorarlo. ¡No lo ignores! A pesar de que es un ataque ciego, aún así no debes cepillarlo ni hacer nada. Obviamente sigue siendo un ataque. De acuerdo con los registros, no se está realizando ningún ataque real, pero él está recolectando información. Debe asegurarse de que ninguno de estos scripts son scripts en su servidor antes de ignorar la amenaza. Si uno de esos fue un buen pedido, han identificado lo que está ejecutando. Si han identificado lo que está ejecutando, probablemente no tengan curiosidad por el simple hecho de ser curiosos. Ellos sondearán más en busca de vulnerabilidades. Así que esté atento a las entradas de registro que puedan parecer sondas de seguimiento.

Un ejemplo de cómo podría desarrollarse.

• Se realiza una búsqueda automática de inteligencia. Verificará si su servidor está sirviendo los archivos que se encuentran en el popular software basado en la web como foros, CMS, portales, etc. Digamos que identificó que está ejecutando el CMS de Wordpress. Verá aparecer este paso en sus registros.
• A continuación, tendrá otra ejecución probada. Esto podría hacerse de una de dos maneras. Es posible que verifique ciertos archivos que ayudan a identificar qué versión de WP podría estar ejecutando. O puede buscar ciertos archivos para complementos de terceros con vulnerabilidades conocidas. Verás este paso aparecer en tus registros. Podría suceder el mismo día o podría esperar semanas.
• Digamos que él identificó que está ejecutando una versión del CMS o un complemento con un exploit conocido. Entonces intentará realizar esas hazañas. Se podría hacer automáticamente o él podría hacer este paso manualmente. Probablemente verá esto en sus registros y es probable que las cadenas de consulta sean extrañas y siempre que contengan un intento de inyección de SQL o un código que él esperaría que su servidor realice a través de la vulnerabilidad.

Como puede ver, si estas condiciones significaran que su decisión de ignorarlo podría hacer que su servidor y / o sitio se vean comprometidos.