Я установил Apache некоторое время назад, и быстрый просмотр моего журнала access.log показывает, что подключаются всевозможные неизвестные IP-адреса, в основном с кодом состояния 403, 404, 400, 408. Я понятия не имею, как они находят мой IP, потому что я использую его только в личных целях, и добавил robots.txt, надеясь, что это не позволит поисковым системам. Я блокирую индексы, и в этом нет ничего особо важного.
Как эти боты (или люди) находят сервер? Часто ли это происходит? Опасны ли эти соединения / что я могу с этим поделать?
Кроме того, многие IP-адреса поступают из самых разных стран и не разрешают имя хоста.
Вот несколько примеров того, что происходит:
за один раз этот бот попытался найти phpmyadmin:
"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"
у меня их много:
"HEAD / HTTP/1.0" 403 - "-" "-"
много "proxyheader.php", я получаю довольно много запросов со ссылками http: // в GET
"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
"ПОДКЛЮЧИТЬ"
"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"
"soapCaller.bs"
"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"
и это действительно отрывочная хрень ..
"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"
пустой
"-" 408 - "-" "-"
Это только суть. Я получаю всякую ерунду, даже с пользовательскими агентами win95.
Спасибо.
Добро пожаловать в интернет :)
Это просто люди, пытающиеся найти уязвимости в серверах. Почти наверняка это делается компримированными машинами.
Люди будут просто сканировать определенные диапазоны IP-адресов - по phpMyAdmin вы можете видеть, что он пытается найти плохо защищенную предустановленную версию PMA. Как только он найден, он может получить неожиданный доступ к системе.
Убедитесь, что ваша система находится в актуальном состоянии и у вас нет ненужных услуг.
Это роботы, сканирующие известные уязвимости системы безопасности. Они просто сканируют целые сетевые диапазоны и поэтому находят такие нерекламируемые серверы, как ваш. Они плохо играют и не заботятся о вашем robots.txt. Если они обнаружат уязвимость, они либо зарегистрируют ее (и вскоре вы можете ожидать ручную атаку), либо автоматически заразят вашу машину руткитом или аналогичным вредоносным ПО. Вы мало что можете с этим поделать, и это просто нормальный бизнес в Интернете. Они являются причиной того, что важно всегда иметь самые последние исправления безопасности для вашего программного обеспечения.
Как отмечали другие, они, вероятно, выполняют сканирование методом грубой силы. Если вы используете динамический IP-адрес, они могут с большей вероятностью просканировать ваш адрес. (Следующий совет предполагает Linux / UNIX, но большинство из них применимо к серверам Windows.)
Самые простые способы их заблокировать:
Чтобы ограничить ущерб, который они могут нанести вашей системе, убедитесь, что процесс apache может записывать только те каталоги и файлы, которые он должен иметь возможность изменять. В большинстве случаев серверу требуется доступ только для чтения к обслуживаемому контенту.
Интернет - это публичное пространство, отсюда и термин публичный IP. Вы не можете скрыть, кроме как установив какой-либо способ запретить общедоступный (vpn, acl на брандмауэре, прямой доступ и т. Д.). Эти связи опасны, поскольку в конечном итоге кто-то будет быстрее использовать вас, чем вы исправляете. Я бы подумал о какой-то аутентификации, прежде чем отвечать.