我的网站似乎有一些恶意访问者,经常导致网站崩溃。我现在正在跟踪他们在我网站上的行为。在我的日志中,我发现他们通过我的网站访问了以下路径:
/cgi-bin/luci
/cgi-bin/luci/admin
/Display/chan/IB61I7MYA
/Visu/ens/events
/v2sA
/fw6I
/includ
/viwwwsogou
/is-bin
/AVuP
/PPsJ
/zMLUH93A
... and more
我的网站上没有设置或创建这些路径和页面。他们为什么要通过我的网站访问这些路径?他们想做什么?我的服务器是否受到攻击?我如何确定并阻止这种情况?
顺便说一下,我的网站是一个 Node.js 应用程序。我的实时服务器运行的是 Ubuntu:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 22.04.3 LTS
Release: 22.04
Codename: jammy
我的服务器上也运行着 Apache 和 Node.js。
有任何想法吗?
答案1
注意:这是我以 IT 安全专业人员的身份说的话,我有超过 10 年的分析网络流量和攻击/扫描模式的经验。
你所看到的典型服务扫描仪流量- 这不是对您的直接攻击,而是坏人和恶意软件试图寻找易受攻击的载体来感染/劫持您的服务的更大行为趋势的一部分。
连接到互联网的所有内容都会被扫描以查看活动、正在运行的服务等。Web 服务器和服务尤其成为目标,因为存在大量用于运行某些软件或服务的 URL,因此可能容易受到攻击和利用媒介。
如果您的互联网站点是公开的,那么这就是典型系统设置的预期观察到的流量。 如果您尚未在系统上启用防火墙来阻止流量其他端口,您应该设置一个。
如果你的 Web 服务是自行编写的,你可能需要使用 Web 应用程序扫描器比如这个(我与该网站没有任何关联,也没有亲自审核过它),或者通过针对您的软件的网址运行 Nessus 扫描程序或其他开源扫描程序套件,以查看它是否容易受到任何常见攻击路径和漏洞利用媒介的攻击。
如果你的 NodeJS 服务是公开的,请确保它定期接受审核。没有保证你的软件安全能导致您的系统被攻破。