对Web服务器的奇怪请求


43

我有一个运行Nginx的Linode VPS,它目前只提供静态内容。

一次我查看日志,发现一些奇怪的要求:

XXX.193.171.202 - - [07/Aug/2013:14:04:36 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 142 "-" "Morfeus Fucking Scanner" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.221.207.157 - - [07/Aug/2013:22:04:20 +0400] "\x80w\x01\x03\x01\x00N\x00\x00\x00 \x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-" 
XXX.221.207.157 - admin [07/Aug/2013:22:04:21 +0400] "GET /HNAP1/ HTTP/1.1" 404 142 "http://212.71.249.8/" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/xxx.x (KHTML like Gecko) Safari/12x.x" 

我应该担心有人试图破解我的服务器在这种情况下?

+4

HNAP请求尝试利用旧的d链接安全缺陷显示[这里](http://www.securityfocus.com/bid/37690/exploit) 02 2月. 142014-02-02 00:33:23

61

看来您的服务器是涉及ZmEu scanner的自动攻击的目标。

该第一个请求似乎来自另一个涉及Morfeus Scanner的自动攻击。

最后一个请求似乎是尝试利用D-Link路由器的家庭网络管理协议(HNAP)实施中的漏洞。有关攻击的更多信息可以在here找到。

从一个cusory浏览一下它的请求,我会说如果你没有在你的系统上运行phpmyadmin你没有什么可担心的。对于连接到互联网的服务器来说,这种攻击是司空见惯的,扫描得到的404表明你的服务器没有他们正在寻找的东西。

+1

谢谢。你能评论第一个和最后两个请求吗?看起来他们不是ZmEu攻击的一部分。 08 8月. 132013-08-08 17:28:40

  0

@Constantius第一个请求似乎是另一个自动扫描器打到HTTP 404.没有什么可担心的。我无法确定第二个请求似乎在做什么,但最后一个请求似乎是尝试利用Dlink路由器中的漏洞。我会更新我的答案。 09 8月. 132013-08-09 03:12:51

  0

倒数第二次可能是HTTPS连接尝试。 17 2月. 142014-02-17 16:31:02

  0

2014年,HNAP被“月球”蠕虫成功利用。 https://isc.sans.edu/forums/diary/More+on+HNAP+What+is+it+How+to+Use+it+How+to+Find+it/17648/ 14 5月. 162016-05-14 10:29:03


29

每台连接到Internet的服务器都会收到数百个“奇怪的请求”。他们中的大多数来自试图复制的自动僵尸网络,通过找到具有特定漏洞的机器。他们尝试随机IP地址(毕竟只有四十亿个可能的IP地址)。所以,有人正试图进入你的服务器,但这个“某人”是一个没有意义的自动机,他对你没有任何反应,特别是你的

我会说,如果你找到日志条目,那么攻击不起作用所以你不必担心它们。当攻击成功时,攻击者做的第一件事就是从日志文件中删除它的痕迹。

这确实突出显示了安装安全修复程序的最大必要性,因为每个在线服务器在构建时都会被公开,并且在某些时候会被这种随机攻击所针对。

+3

关于第一个问题的观点攻击者可能做的事情是抹去进入的痕迹非常有启发性!我们将我们的日志传送到另一台服务器,所以希望如果发生什么事情,我们将有一个记录。 :) 09 10月. 132013-10-09 15:29:55


10

如果你想阻止已知的扫描仪,你可能想使用基于nginx的WAF naxsi + doxi-rules;这些扫描仪是众所周知

doxi + naxsi in action


-1

根据该漏洞是ZyNOS所,是从d-Link的,是TP-Link,中兴等厂商的路由器的用户,允许remote hackers in changing the DNS settings麻烦的最新报告并劫持用户流量。这个漏洞在路由器中建立了一个“后门式”功能,这意味着有意实施。

  1. 的“平”的工具,d-Link的DIR636L错误滤波器的输入允许喷射的任意命令进入路由器
  2. 这使得获得的路由器的全部控制的远程攻击者,例如在DDoS风格攻击中攻击网络,甚至将设备后面的计算机暴露给Internet,这会改变路由器上的防火墙/ NAT规则
+1

我不确定这适用于OP。你能指定为什么这个D-Link漏洞适用? 25 3月. 152015-03-25 07:41:19