我在计算机上使用 WAMPServer 进行测试和开发。我忘记了它,让它在线几天,我注意到一堆甚至不是来自我的 IP 的随机请求。以下是一些示例。
77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
其中很多都是来自这个58.218.199.250 IP。
我注意到另一个 IP 一直尝试访问我的数据库管理器。
200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222
这就是这个 IP 所做的一切。由于权限仅限于本地,因此它返回了 404。当然,所有这些 IP 都来自巴西、中国和俄罗斯……我应该担心这些随机请求还是正常现象?这些是机器人还是爬虫?
答案1
这对于任何面向公众的服务器来说都是完全正常和意料之中的。您看到的是使用已知弱点以标准脚本尝试访问您的系统的结果。一天内从单一来源看到数百甚至数千个此类请求并不罕见。
这很好地说明了为什么确保软件保持最新状态并尽可能锁定很重要。此外,请确保使用强密码。找到合适的接入点后,您可以观察访问您帐户的尝试,通常从简单的字典攻击开始。
答案2
这些是破坏性尝试(至少是数据库访问尝试)。收到此类请求很正常。重要的是确保您的数据库和任何其他重要文件不受此类尝试的侵害。
答案3
我的服务器上总是有此类日志。由于我非常讨厌黑客和入侵行为,因此我通常会将这些入侵攻击报告给美国计算机应急响应小组http://www.us-cert.gov当然,作为一个正在学习成为“安全专家”的人,我可以理解这些攻击,但他们可以在自己的网络上进行实验,而不是在我的服务器上。
通常我会通过此处列出的网站运行 IP 地址http://www.iana.org/numbers。
这样我就能获得 ISP 业务信息和黑客 ISP 发来的“滥用”电子邮件。我向他们发送了我的日志副本、我向 US-CERT 报告的确认号以及一封善意的便条,让他们知道我正在报告此事件。多年来,使用垃圾邮件标头信息中的 IP 地址来阻止垃圾邮件几乎 100% 有效。
此外,我还为我的服务器创建了一行特定的代码,拒绝来自该 ISP 的所有流量。
在我的服务器上,我输入“deny from xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx”或“deny from “location.location.ru”,其中“x”或“location.location.ru”是该 ISP 的开始和结束 IP 频谱(以空格分隔 - 没有引号 - 查看服务器关于拒绝或阻止 IP 的文档)。您可以在 IANA 网站(WHOIS 搜索)上列出的 ISP 信息顶部找到 ISP 地址频谱。
这将阻止来自该 ISP 的所有流量。小心!由于这是一个激进的举动,此过程可能会阻止来自该 ISP 的数万个潜在点击,但就我而言,我在美国,我在本地提供我的网页,因此来自中国或俄罗斯的流量对我来说毫无意义。我不介意在我的某些网站上阻止一半的香港或布拉格。
祝你好运,希望这些信息对你有帮助。一定要做好防护措施 :)