Странные запросы на веб-сервер


43

У меня есть Linode VPS, работающий с Nginx, который в настоящее время обслуживает только статический контент.

После того, как я смотрел на журнал и заметил некоторые странные запросы:

XXX.193.171.202 - - [07/Aug/2013:14:04:36 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 142 "-" "Morfeus Fucking Scanner" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.125.148.79 - - [07/Aug/2013:20:53:35 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 142 "-" "ZmEu" 
XXX.221.207.157 - - [07/Aug/2013:22:04:20 +0400] "\x80w\x01\x03\x01\x00N\x00\x00\x00 \x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-" 
XXX.221.207.157 - admin [07/Aug/2013:22:04:21 +0400] "GET /HNAP1/ HTTP/1.1" 404 142 "http://212.71.249.8/" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/xxx.x (KHTML like Gecko) Safari/12x.x" 

Должен ли я беспокоиться о ком-то пытается взломать мой сервер в этом случае?

+4

Запрос HNAP - попытка использовать старую защиту d-link дефект показан [ЗДЕСЬ] (http://www.securityfocus.com/bid/37690/exploit) 02 фев. 142014-02-02 00:33:23

61

похоже, что ваш сервер является объектом автоматической атаки с использованием ZmEu scanner.

Этот первый запрос, как представляется, относится к другой автоматической атаке с использованием Morfeus Scanner.

Этот последний запрос является попыткой использовать уязвимости в реализациях протокола сетевого доступа (HNAP) маршрутизаторов D-Link. Более подробную информацию об атаке можно найти here.

От казательного взгляда на запрос, который он делает, я бы сказал, что вам не о чем беспокоиться, если вы не используете phpmyadmin для своих систем. Такие атаки являются обычным явлением для серверов, подключенных к Интернету, и сканирование получает 404, что указывает на то, что у вашего сервера нет того, что они ищут.

+1

Спасибо. Можете ли вы прокомментировать первый и последний два запроса? Кажется, они не являются частью атаки ZmEu. 08 авг. 132013-08-08 17:28:40

  0

@Constantius Этот первый запрос, как представляется, является еще одним автоматическим сканером, ударяющим по HTTP 404. Нечего беспокоиться о нем. Я не могу сказать, что делает второй последний запрос, но последний запрос является попыткой использовать уязвимость в маршрутизаторах Dlink. Я уточню свой ответ. 09 авг. 132013-08-09 03:12:51

  0

Вторым последним, вероятно, является попытка подключения HTTPS. 17 фев. 142014-02-17 16:31:02

  0

В 2014 году HNAP успешно эксплуатировался червям The Moon. https://isc.sans.edu/forums/diary/More+on+HNAP+What+is+it+How+to+Use+it+How+to+Find+it/17648/ 14 май. 162016-05-14 10:29:03


29

Каждый сервер, подключенный к Интернету, получит сотни «странных запросов». Большинство из них - от автоматических бот-сетей, которые пытаются реплицировать, найдя машины, которые имеют определенную уязвимость. Они пробуют случайные IP-адреса (в конце концов, всего четыре миллиарда возможных IP-адресов). Итак, да, кто-то пытается войти в ваш сервер, но этот «кто-то» - это бессмысленный автомат, который ничего не имеет против вас, в частности.

Я бы сказал, что если вы найдете записи в журнале, то атака не работает, так что вам не о чем беспокоиться. Когда атака успешна, первое, что делает злоумышленник, - это удалить ее следы из файлов журналов.

Это подчеркивает максимальную необходимость установки исправлений безопасности, поскольку каждый онлайн-сервер, по своей конструкции, подвергается воздействию, а будет нацелен на такие случайные атаки в какой-то момент.

+3

Ваша точка зрения о первом вещь, которую может нанести злоумышленник, это стереть следы входа, очень просвещать! Мы направляем наши журналы на другой сервер, поэтому, надеюсь, если что-то произойдет, у нас будет запись. :) 09 окт. 132013-10-09 15:29:55


10

Если вы хотите заблокировать известные сканеры, вы можете использовать WAF на основе nginx naxsi + doxi-rules; эти сканеры широко известны

doxi + naxsi in action


-1

Согласно последнему отчету уязвимость в ZyNOS и беда для пользователей маршрутизатора от D-Link, TP-Link, ZTE и других производителей, которые позволяют remote hackers in changing the DNS settings и захватывает пользовательский трафик. Эта уязвимость имеет функцию «бэкдор-типа», «встроенную» в маршрутизатор, предлагающую преднамеренную реализацию.

  1. На входе «пинг» инструмент, который D-Link DIR636L неправильно фильтры позволяет инъекцию произвольных команд в маршрутизатор
  2. Это позволяет удаленному злоумышленнику, который получает полный контроль над маршрутизатором, например, который атакует сеть в атаке типа DDoS или даже подвергается воздействию компьютеров, находящихся за устройствами в Интернете, что изменяет правила брандмауэра/NAT на маршрутизаторах
+1

Я не уверен, что это относится к ОП. Можете ли вы указать, почему эта уязвимость D-Link применяется? 25 мар. 152015-03-25 07:41:19