我刚刚使用 angular-fullstack yeoman 生成器创建了一个新应用程序,根据我的喜好对其进行了一些编辑,然后在我的本地主机上使用 grunt 运行它,启动后我立即收到了大量对我尚未定义的路径的请求。
这是黑客攻击吗?如果是这样,黑客(人类或机器人)如何立即知道我的服务器在哪里以及何时上线?请注意,我没有在线进行任何操作,这只是一个本地主机设置,我只是连接到互联网。(虽然我的路由器确实允许 80 端口传入。)
Whois 显示该 IP 地址属于 SoftLayer Technologies。从来没有听说过。
Express 服务器在 80 上监听,处于开发模式
GET / [200] | 127.0.0.1(Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71(其他)
GET /scripts/setup.php [404] | 50.22.53.71(其他)
GET /admin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /admin/pma/scripts/setup.php [404] | 50.22.53.71(其他)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /db/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /mysql/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /web/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (其他)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (其他)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (其他)
GET /phpMyAdmin/ [404] | 50.22.53.71 (其他)
GET /phpmyadmin/ [404] | 50.22.53.71 (其他)
GET /mysqladmin/ [404] | 50.22.53.71 (其他)
答案1
这是一次黑客攻击吗?
是的。
如果是这样,黑客(人类或机器人)如何立即知道我的服务器在哪里以及何时上线?
你说到了点子上,你在线。只要上网,你就会面临被扫描漏洞的风险。他们不认识你,也不知道你架设了服务器。他们知道服务器使用的地址范围,并积极扫描这些地址以查找漏洞。
他们正在扫描 phpMyAdmin 漏洞或只是对 phpMyAdmin 或 MySQL 访问进行普通的登录破解。
这是您在 cPanel 后面运行 phpMyAdmin 的一个原因,也是您将 MySQL 作为本地主机运行而不将其暴露给开放的 Web 访问的另一个原因。
两者都可用于破坏您的数据库,执行从插入 iframe 到彻底窃取数据等任何操作。
仅仅因为地址来自 SoftLayer(SoftLayer 是地球上最大的服务器场运营之一)并没有多大意义,除非攻击是从他们托管的受感染服务器上中继的。
网络上的每个服务器都会看到这些。如果它们过于持久,处理它的一种方法是在请求中获取一个常见匹配,并在 .htaccess 中使用 mod_alias 和 RedirectMatch 行将其 403 重定向。
目前,您应该会看到很多针对最新 WordPress trackback 漏洞的 wp-admin 和 fckeditor 破解尝试。