Extrañas solicitudes al servidor web

Navega tus respuestas
50

Tengo un VPS de Linode que ejecuta Nginx, que actualmente solo sirve contenido estático.

Una vez que estaba mirando el registro y noté algunas solicitudes extrañas: 

XXX.193.171.202 - - [07/Aug/2013:14:04:36 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 142 "-" "Morfeus Fucking Scanner"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.221.207.157 - - [07/Aug/2013:22:04:20 +0400] "\x80w\x01\x03\x01\x00N\x00\x00\x00 \x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-"
XXX.221.207.157 - admin [07/Aug/2013:22:04:21 +0400] "GET /HNAP1/ HTTP/1.1" 404 142 "http://212.71.249.8/" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/xxx.x (KHTML like Gecko) Safari/12x.x"

¿Debería preocuparme si alguien intenta piratear mi servidor en este caso?

    
pregunta Michael Pankov 08.08.2013 - 19:06
fuente

4 respuestas

66

Parece que su servidor es el objetivo de un ataque automatizado que involucra Escáner ZmEu .

La primera solicitud parece ser de otro ataque automatizado que involucra el Morfeus Scanner .

La última solicitud parece ser un intento de explotar vulnerabilidades en las implementaciones del Protocolo de administración de red doméstica (HNAP) de los enrutadores D-Link. Puede encontrar más información sobre el ataque aquí .

Por un vistazo cusory a la solicitud que está haciendo, diría que no tiene nada de qué preocuparse si no está ejecutando phpmyadmin en sus sistemas. Dichos ataques son comunes para los servidores conectados a Internet y las exploraciones obtienen 404, lo que indica que su servidor no tiene lo que está buscando.

    
respondido por el Ayrx 08.08.2013 - 19:16
fuente
31

Cada servidor que esté conectado a Internet recibirá cientos de "solicitudes extrañas". La mayoría de ellos provienen de redes de bots automáticas que intentan replicarse, encontrando máquinas que presentan una vulnerabilidad específica. Intentan direcciones IP aleatorias (después de todo, solo hay cuatro billones de direcciones IP posibles). Entonces, sí , alguien está intentando ingresar a su servidor, pero ese "alguien" es un autómata sin sentido que no tiene nada en contra de usted , específicamente.

Diría que si encuentra las entradas del registro, entonces el ataque no funcionó , por lo que no tiene que preocuparse por ellas. Cuando el ataque tiene éxito, lo primero que hace el atacante es eliminar los rastros de los archivos de registro.

Esto resalta la mayor necesidad de instalar correcciones de seguridad, ya que todos los servidores en línea están, por construcción, expuestos y serán atacados por ataques aleatorios en algún momento.

    
respondido por el Tom Leek 08.08.2013 - 19:31
fuente
10

si desea bloquear los escáneres conocidos, puede usar WAF basado en nginx naxsi + doxi-rules ; estos escáneres son ampliamente conocidos

    
respondido por el that guy from over there 09.08.2013 - 11:45
fuente
-2

Según el último informe, la vulnerabilidad está en ZynOS y es un problema para los usuarios del enrutador de D-Link, TP-Link, ZTE y otros fabricantes que permiten hackers remotos al cambiar la configuración de DNS y secuestra el tráfico de usuarios. Esta vulnerabilidad tiene una función "de tipo de puerta trasera" "incorporada" en el enrutador sugiere una implementación deliberada.

  1. La entrada de la herramienta de "ping" que D-Link DIR636L filtra incorrectamente permite la inyección de comandos arbitrarios en el enrutador
  2. Esto permite al atacante remoto que obtiene el control total del enrutador, por ejemplo, que ataca la red en el ataque estilo DDoS o incluso la exposición de las computadoras detrás de los dispositivos a Internet que cambia las reglas de firewall / NAT en los enrutadores li>
respondido por el user3829088 25.03.2015 - 08:23
fuente

Lea otras preguntas en las etiquetas

¿Cómo instalar certificados de cliente globalmente para Google Chrome en Ubuntu? ¿Tener / sbin / nologin significa que no puedo iniciar el ejecutable / bin / sh?