Acceso al registro de alguien que usa diferentes direcciones IP para enviar el mismo tipo de tráfico

-1

Tengo un sistema de compra magento y lo leo en mis registros:

206.75.231.xxx - - [14/Dec/2017:19:59:11 +0100] "POST /downloader/ HTTP/1.1" 403 220 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0"

200.128.35.x - - [14/Dec/2017:20:37:41 +0100] "POST /downloader/ HTTP/1.1" 403 220 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0"

129.121.49.xxx - - [14/Dec/2017:21:29:02 +0100] "POST /downloader/ HTTP/1.1" 403 220 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/32.0"

Y también hay 3 veces más que este "visitante" (con también otra IP) intentó detectar una vulnerabilidad en la instalación.

¿Por qué el "visitante" intenta esto con siempre 6 IP diferentes enviando siempre 9 POST? Creo que es suficiente intentar una vez para adivinar que no hay posibilidad de acceder.

    
pregunta Marcel 15.12.2017 - 10:57
fuente

1 respuesta

4

Bienvenido a las botnets, donde una persona controla miles o millones de computadoras para probar si otras computadoras tienen vulnerabilidades que pueden explotar para agregarlas a su red (o peor). Utilizan una amplia gama de máquinas en caso de que una IP se bloquee, y rotan la cantidad de tráfico que una IP envía para tratar de evitar el bloqueo. Y simplemente siguen adelante, incluso si no hay una vulnerabilidad obvia porque no les cuesta nada mantenerlos en caso de que algo cambie.

Y así es como funciona. El mismo tipo de pruebas realizadas en máquinas de todo el mundo. Como una multitud de personas que verifican si cerraste la puerta de tu casa. Si una persona se esfuerza demasiado y se le niega el acceso, aún queda una gran cantidad de personas para continuar.

Esto nunca desaparecerá, así que asegúrate de haber "bloqueado las puertas".

    
respondido por el schroeder 15.12.2017 - 11:07
fuente

Lea otras preguntas en las etiquetas