Я использую WAMPServer на своем компьютере для тестирования и разработки. Я забыл и оставил его онлайн на несколько дней, и замечаю кучу случайных запросов, которые даже не с моего IP. Вот несколько примеров.
77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
Многие из них с IP-адреса 58.218.199.250.
Другой IP-адрес, который я заметил, пытался получить доступ к моему менеджеру базы данных.
200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222
И это все, что делал этот IP. Что ж, он вернул 404, поскольку разрешения являются только локальными. И, конечно же, все эти IP-адреса из Бразилии, Китая и России ... Стоит ли мне беспокоиться об этих случайных запросах или это нормально? Это боты или краулеры?
Все совершенно нормально и ожидаемо на любом публичном сервере. То, что вы видите, - это результаты стандартной попытки по сценарию получить доступ к вашей системе с использованием известных слабых мест. Нет ничего необычного в том, чтобы увидеть сотни или даже тысячи таких запросов из одного источника за один день.
Это отличная иллюстрация того, почему важно, чтобы программное обеспечение было обновлено и заблокировано настолько, насколько это возможно. Кроме того, убедитесь, что вы используете надежные пароли. Как только подходящая точка доступа будет найдена, вы сможете наблюдать за попытками доступа к вашим учетным записям, обычно начиная с простых словарных атак.
Я все время получаю такие журналы на своем сервере. И, поскольку я являюсь человеком, который не приемлет попытки взлома и проникновения, я обычно сообщаю об этих атаках проникновения в Группу реагирования на компьютерные чрезвычайные ситуации США по адресу: http://www.us-cert.gov . Конечно, я могу оценить эти атаки как просто человека, который учится стать «экспертом по безопасности», но он может экспериментировать в своей собственной сети, а не на моем сервере.
Обычно я запускаю IP-адрес через перечисленные здесь веб-сайты. http://www.iana.org/numbers .
Это дает мне бизнес-информацию интернет-провайдера и электронное письмо со "злоупотреблением" от хакерского интернет-провайдера. Я отправляю им копию своих журналов, номер подтверждения из моего отчета в US-CERT и любезную записку, чтобы сообщить им, что я сообщаю об этом инциденте. В течение многих лет это было почти 100% эффективным способом остановить СПАМ с помощью IP-адреса из информации заголовка спама.
Кроме того, я также создаю специальную строку кода для своего сервера, запрещающую весь трафик от этого провайдера.
На моем сервере я набираю «запретить с xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx» или «запретить с» location.location.ru, где «x» или «location.location.ru» - начало, а окончание спектра IP-адресов для этого интернет-провайдера (разделенных пробелом - без кавычек - просмотрите документацию по серверам об отказе или блокировке IP-адресов). Вы можете найти спектр адресов интернет-провайдера в верхней части информации об интернет-провайдерах, указанной на веб-сайтах IANA (поиск WHOIS).
Это заблокирует ВЕСЬ трафик от этого провайдера. Осторожный! Поскольку это радикальный шаг, эта процедура может заблокировать десятки тысяч потенциальных обращений, исходящих от этого интернет-провайдера, но, что касается меня, я нахожусь в Соединенных Штатах и обслуживаю свои страницы локально, поэтому трафик из Китая или России ничего не значит. мне. Я не против заблокировать половину Гонконга или Праги на некоторых своих сайтах.
Удачи, надеюсь, эта информация будет полезной. Всегда используйте хорошую защиту :)
Это попытки взлома (по крайней мере, попытки доступа к БД). Такие запросы - это нормально. Важный момент - убедиться, что ваша база данных и любые другие важные файлы защищены от таких попыток.