He configurado un nuevo conjunto de servidores para probar un software en Amazon EC2, y había configurado mi aplicación. Le he dado acceso público y una entrada de DNS, por lo que es fácilmente accesible para aquellos que necesitan probarlo.
Hoy he encontrado lo siguiente en los registros de la aplicación (al lado de las solicitudes de solicitud habituales):
GET /manager/html 404 2ms
HEAD / 200 1ms - 2.65kb
GET /manager/html 404 2ms
GET /w00tw00t.at.blackhats.romanian.anti-sec:) 404 1ms
GET /phpMyAdmin/scripts/setup.php 404 1ms
GET /phpmyadmin/scripts/setup.php 404 0ms
GET /pma/scripts/setup.php 404 1ms
GET /myadmin/scripts/setup.php 404 1ms
GET /MyAdmin/scripts/setup.php 404 1ms
GET / 200 2ms - 2.65kb
GET /w00tw00t.at.blackhats.romanian.anti-sec:) 404 1ms
GET /phpMyAdmin/scripts/setup.php 404 1ms
GET /phpmyadmin/scripts/setup.php 404 0ms
GET /pma/scripts/setup.php 404 1ms
GET /myadmin/scripts/setup.php 404 1ms
GET /MyAdmin/scripts/setup.php 404 1ms
GET /manager/html 404 2ms
He estado leyendo sobre software que realiza este tipo de solicitudes y parece ser solo una herramienta automatizada para encontrar vulnerabilidades en el sistema.
Ahora, sé que solo yo y una segunda persona hemos accedido a este servicio, no se publica ni se menciona en ningún otro lugar que no sea Amazon. También sé que ninguno de nosotros está ejecutando la comprobación de vulnerabilidades contra la aplicación.
Así que quería saber antes de que active las alarmas, ¿estoy infectado por este malware o por otra persona?