web-dev-qa-db-fra.com

Étranges demandes au serveur Web

J'ai un VPS Linode exécutant Nginx, qui ne sert actuellement que du contenu statique.

Une fois que je regardais le journal, j'ai remarqué d'étranges demandes:

XXX.193.171.202 - - [07/Aug/2013:14:04:36 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 142 "-" "Morfeus Fucking Scanner"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu"
XXX.221.207.157 - - [07/Aug/2013:22:04:20 +0400] "\x80w\x01\x03\x01\x00N\x00\x00\x00 \x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-"
XXX.221.207.157 - admin [07/Aug/2013:22:04:21 +0400] "GET /HNAP1/ HTTP/1.1" 404 142 "http://212.71.249.8/" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/xxx.x (KHTML like Gecko) Safari/12x.x"

Dois-je m'inquiéter si quelqu'un tente de pirater mon serveur dans ce cas?

webservernginx
53
Michael Pankov

Il semble que votre serveur soit la cible d'une attaque automatisée impliquant le scanner ZmE .

Cette première demande semble provenir d'une autre attaque automatisée impliquant le Morfeus Scanner .

Cette dernière demande semble être une tentative d'exploiter les vulnérabilités dans les implémentations HNAP (Home Network Administration Protocol) des routeurs D-Link. Plus d'informations sur l'attaque peuvent être trouvées ici .

D'un coup d'œil sur la demande qu'elle fait, je dirais que vous n'avez rien à craindre si vous n'exécutez pas phpmyadmin sur vos systèmes. De telles attaques sont monnaie courante pour les serveurs connectés à Internet et les analyses obtiennent 404 indiquant que votre serveur n'a pas ce qu'il recherche.

68
user10211

Chaque serveur connecté à Internet recevra des centaines de "requêtes étranges". La plupart d'entre eux proviennent de botnets automatiques qui essaient de se répliquer, en trouvant des machines qui présentent une vulnérabilité spécifique. Ils essaient des adresses IP aléatoires (il n'y a que quatre milliards d'adresses IP possibles, après tout). Alors oui, quelqu'un essaie d'entrer dans votre serveur, mais ce "quelqu'un" est un automate stupide qui n'a rien contre vous , Plus précisément.

Je dirais que si vous trouvez les entrées de journal, l'attaque n'a pas fonctionné , vous n'avez donc pas à vous en préoccuper. Lorsque l'attaque réussit, la première chose que fait l'attaquant est de supprimer ses traces des fichiers journaux.

Cela met en évidence la nécessité absolue d'installer des correctifs de sécurité, car chaque serveur en ligne est, par construction, exposé et sera ciblé par de telles attaques aléatoires à un moment donné .

32
Tom Leek

si vous voulez bloquer les scanners connus, vous pouvez utiliser le WAF basé sur nginx naxsi + doxi-rules ; ces scanners sont largement connus

doxi + naxsi in action

11
that guy from over there