Los registros del servidor web muestran que alguien está intentando piratear mi sitio, ¿qué debo hacer?

10

Parece que alguien está intentando hackear mi sitio. Lo siguiente viene de mis archivos de registro de IIS:

#Software: Microsoft Internet Information Services 7.5
#Version: 1.0
#Date: 2011-07-03 00:02:39
#Fields: date time s-sitename cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken
2011-07-03 18:29:05 W3SVC111 GET /V20xRmRRPT0K - 80 - 83.140.8.18 - 302 0 0 458 145 786
2011-07-03 18:29:06 W3SVC111 GET /scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 468 151 617
2011-07-03 18:29:06 W3SVC111 GET /admin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 132
2011-07-03 18:29:08 W3SVC111 GET /admin/pma/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 161 2407
2011-07-03 18:29:08 W3SVC111 GET /admin/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 181
2011-07-03 18:29:08 W3SVC111 GET /db/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 474 154 259
2011-07-03 18:29:09 W3SVC111 GET /dbadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 371
2011-07-03 18:29:09 W3SVC111 GET /myadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 484 159 357
2011-07-03 18:29:09 W3SVC111 GET /mysql/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 480 157 197
2011-07-03 18:29:10 W3SVC111 GET /mysqladmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 310
2011-07-03 18:29:10 W3SVC111 GET /typo3/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 103
2011-07-03 18:29:10 W3SVC111 GET /phpadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 486 160 56
2011-07-03 18:29:10 W3SVC111 GET /phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 139
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 490 162 87
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin1/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 51
2011-07-03 18:29:10 W3SVC111 GET /phpmyadmin2/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 492 163 98
2011-07-03 18:29:10 W3SVC111 GET /pma/scripts/setup.php - 80 - 83.140.8.18 - 302 0 0 476 155 55
2011-07-03 18:29:10 W3SVC111 GET /web/phpMyAdmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 166 53
2011-07-03 18:29:10 W3SVC111 GET /xampp/phpmyadmin/scripts/setup.php - 80 - 83.140.8.18 - 404 0 0 1457 168 52

¿Qué debo hacer con esto? ¿Debo ir a la policía con eso? Cualquier buen consejo es bienvenido.

    
pregunta Louis Somers 03.07.2011 - 21:33
fuente

5 respuestas

15

Sugiero simplemente ignorarlo, no vale la pena. Hay demasiadas máquinas infectadas por ahí.

Si tiene demasiado tiempo a mano, puede hacer una whois query en la ip- dirección. Luego, comuníquese con el ISP y dígales que tienen un cliente infectado. La dirección de correo electrónico de contacto suele ser el dominio "abuse @".

En este caso, whois 83.140.8.18 incluso devuelve un comentario que dice:

  

En caso de abuso, envíe un correo a abuse (at) rixtelecom.se

    
respondido por el Hendrik Brummermann 03.07.2011 - 21:47
fuente
6

No me molestaría en ir con la policía. Este es un escaneo común en su IP que le sucede a la mayoría de las IP públicas que se encuentran por ahí.

Como dice Hendrik Brummermann, puede valer la pena informar la IP al departamento de abusos del ISP.

También puede bloquear la IP agregando una ruta a / dev / null desde esa IP o bloqueándola en el firewall.

    
respondido por el Chris Dale 03.07.2011 - 22:48
fuente
6

Póngase en contacto con el ISP del usuario, como todos dijeron.

También puede usar el conocimiento de este ataque en particular para fortalecer su seguridad y ajustar las reglas del firewall. Al igual que limitar el número de solicitudes a la misma página por IP única o así sucesivamente. Muchos ejemplos en google deberían ayudarte a determinar cuál es el mejor para ti.

Esto debería abordar futuros ataques y reducir el ancho de banda utilizado.

    
respondido por el M'vy 04.07.2011 - 10:33
fuente
2

No veo nada ilegal aquí. Si desea informar a todos los que consultan una ruta no existente, en el futuro estará muy ocupado.

Su ISP se reirá de ti.

    
respondido por el SlowMan 04.07.2011 - 11:00
fuente
0

Parece una sonda automatizada para obtener información sobre lo que podría estar ejecutándose en su servidor. Como se mencionó anteriormente, no vale la pena ir a la policía e informarles al correo electrónico de abuso de su ISP.

Me sentí obligado a responder cuando la respuesta principal sugirió ignorarlo. ¡No lo ignores! A pesar de que es un ataque ciego, aún así no debes cepillarlo ni hacer nada. Obviamente sigue siendo un ataque. De acuerdo con los registros, no se está realizando ningún ataque real, pero él está recolectando información. Debe asegurarse de que ninguno de estos scripts son scripts en su servidor antes de ignorar la amenaza. Si uno de esos fue un buen pedido, han identificado lo que está ejecutando. Si han identificado lo que está ejecutando, probablemente no tengan curiosidad por el simple hecho de ser curiosos. Ellos sondearán más en busca de vulnerabilidades. Así que esté atento a las entradas de registro que puedan parecer sondas de seguimiento.

Un ejemplo de cómo podría desarrollarse.

  • Se realiza una búsqueda automática de inteligencia. Verificará si su servidor está sirviendo los archivos que se encuentran en el popular software basado en la web como foros, CMS, portales, etc. Digamos que identificó que está ejecutando el CMS de Wordpress. Verá aparecer este paso en sus registros.
  • A continuación, tendrá otra ejecución probada. Esto podría hacerse de una de dos maneras. Es posible que verifique ciertos archivos que ayudan a identificar qué versión de WP podría estar ejecutando. O puede buscar ciertos archivos para complementos de terceros con vulnerabilidades conocidas. Verás este paso aparecer en tus registros. Podría suceder el mismo día o podría esperar semanas.
  • Digamos que él identificó que está ejecutando una versión del CMS o un complemento con un exploit conocido. Entonces intentará realizar esas hazañas. Se podría hacer automáticamente o él podría hacer este paso manualmente. Probablemente verá esto en sus registros y es probable que las cadenas de consulta sean extrañas y siempre que contengan un intento de inyección de SQL o un código que él esperaría que su servidor realice a través de la vulnerabilidad.

Como puede ver, si estas condiciones significaran que su decisión de ignorarlo podría hacer que su servidor y / o sitio se vean comprometidos.

    
respondido por el Bacon Brad 04.08.2015 - 19:32
fuente

Lea otras preguntas en las etiquetas