Calculer Girl
  1. Calculer Girl
  3. Quelqu’un essaie d’entrer dans mon serveur?
Intereting Posts
le tableau dynamic en C nginx passenger Le site Web sous une lourde erreur de chargement et aucune queue n’est traitée Comment la vidéo est jouée dans le QML? Comment le code est-il stocké dans un exécutable? Quelle est la différence entre Apache Mesos, Mesosphere et DCOS? Test de l’application pour les droits d’exécution administrative VB.NET Apprendre Perl, mais comment puis-je obtenir 5.14 sous Windows? Comment lire un minidump? django: le contenu statique de nginx ne fonctionne pas Existe-t-il un moyen simple de créer un paquet Perl? Unix: lancez 2 commandes qui sont entrées dans un tube? Ecrire 0 caractères dans un descripteur de fichier Comment télécharger et ouvrir un fichier dans xampp apache server en utilisant le script Perl CGI? “Correct” façon de stocker le mot de passe postgres sur le site Web de python Est-il possible de transformer l’image Docker en exécutable Windows pour une dissortingbution facile?

Quelqu’un essaie d’entrer dans mon serveur?

J’ai hébergé mon application Rails la semaine dernière. Aujourd’hui, je parcourais notre fichier journal et j’ai remarqué de nombreuses demandes comme celle-ci. 

I, [2016-03-14T00:42:18.501703 #21223] INFO -- : Started GET "/testproxy.php" for 185.49.14.190 at 2016-03-14 00:42:18 -0400 F, [2016-03-14T00:42:18.510616 #21223] FATAL -- : ActionController::RoutingError (No route matches [GET] "/testproxy.php"):

Quelqu’un essaie d’aller à testproxy.php depuis une autre adresse IP. Certains ip viennent de Pologne et d’autres de Hong Kong. Suis-je attaqué par quelqu’un? Quelles sont mes options pour me protéger?

Voici d’autres sorties du fichier journal: 

 I, [2016-03-14T03:09:24.945467 #15399] INFO -- : Started GET "/clientaccesspolicy.xml" for 107.22.223.242 at 2016-03-14 03:09:24 -0400 F, [2016-03-14T03:09:24.949328 #15399] FATAL -- : ActionController::RoutingError (No route matches [GET] "/clientaccesspolicy.xml"):

Adresse IP différente: 

 I, [2016-03-14T16:03:47.793731 #15399] INFO -- : Started GET "/testproxy.php" for 178.216.200.48 at 2016-03-14 16:03:47 -0400 F, [2016-03-14T16:03:47.818519 #15399] FATAL -- : ActionController::RoutingError (No route matches [GET] "/testproxy.php"):

search.php 

 I, [2016-03-14T19:41:14.261843 #15399] INFO -- : Started GET "/forum/search.php" for 164.132.161.67 at 2016-03-14 19:41:14 -0400 F, [2016-03-14T19:41:14.266563 #15399] FATAL -- : ActionController::RoutingError (No route matches [GET] "/forum/search.php"):

forum/index.php 

 I, [2016-03-15T10:54:55.254785 #26469] INFO -- : Started GET "/forum/index.php" for 164.132.161.56 at 2016-03-15 10:54:55 -0400 F, [2016-03-15T10:54:55.266456 #26469] FATAL -- : ActionController::RoutingError (No route matches [GET] "/forum/index.php"):

phpmyadim/scripts/setup.php 

 I, [2016-03-15T13:21:36.862918 #26469] INFO -- : Started GET "/phpMyAdmin/scripts/setup.php" for 103.25.73.234 at 2016-03-15 13:21:36 -0400 F, [2016-03-15T13:21:36.867050 #26469] FATAL -- : ActionController::RoutingError (No route matches [GET] "/phpMyAdmin/scripts/setup.php"):

another setup.php 

 I, [2016-03-15T13:21:37.452097 #26469] INFO -- : Started GET "/pma/scripts/setup.php" for 103.25.73.234 at 2016-03-15 13:21:37 -0400 F, [2016-03-15T13:21:37.453647 #26469] FATAL -- : ActionController::RoutingError (No route matches [GET] "/pma/scripts/setup.php"):

myadmin/scripts/setup.php 

 I, [2016-03-15T13:21:38.034283 #26469] INFO -- : Started GET "/myadmin/scripts/setup.php" for 103.25.73.234 at 2016-03-15 13:21:38 -0400 F, [2016-03-15T13:21:38.041563 #26469] FATAL -- : ActionController::RoutingError (No route matches [GET] "/myadmin/scripts/setup.php"):

et plein d’autres choses. S’il vous plaît dites-moi comment puis-je me protéger contre ces attaques.

Ceci est courant lorsque vous exécutez un serveur public. Voici un extrait de l’auth.log de mon serveur domestique: 

 Mar 14 19:22:36 hotdog sshd[65937]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] Mar 14 19:22:37 hotdog sshd[65939]: Invalid user ubnt from 181.214.92.11 Mar 14 19:22:37 hotdog sshd[65939]: input_userauth_request: invalid user ubnt [preauth] Mar 14 19:22:37 hotdog sshd[65939]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] Mar 14 19:22:38 hotdog sshd[65941]: Invalid user support from 181.214.92.11 Mar 14 19:22:38 hotdog sshd[65941]: input_userauth_request: invalid user support [preauth] Mar 14 19:22:38 hotdog sshd[65941]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] Mar 14 19:22:39 hotdog sshd[65943]: Invalid user oracle from 181.214.92.11 Mar 14 19:22:39 hotdog sshd[65943]: input_userauth_request: invalid user oracle [preauth] Mar 14 19:22:39 hotdog sshd[65943]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] Mar 14 19:22:40 hotdog sshd[65945]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] Mar 14 19:24:04 hotdog sshd[65947]: fatal: Read from socket failed: Operation timed out [preauth] Mar 14 20:01:19 hotdog sshd[66032]: Received disconnect from 183.3.202.102: 11: [preauth] Mar 14 20:40:17 hotdog sshd[66092]: Invalid user cacti from 199.217.117.71 Mar 14 20:40:17 hotdog sshd[66092]: input_userauth_request: invalid user cacti [preauth] Mar 14 20:40:17 hotdog sshd[66092]: Connection closed by 199.217.117.71 [preauth] Mar 14 21:32:09 hotdog sshd[66188]: Received disconnect from 183.3.202.102: 11: [preauth] Mar 14 22:01:59 hotdog sshd[66256]: Invalid user user1 from 199.217.117.71 Mar 14 22:01:59 hotdog sshd[66256]: input_userauth_request: invalid user user1 [preauth] Mar 14 22:02:00 hotdog sshd[66256]: Connection closed by 199.217.117.71 [preauth] Mar 14 22:17:57 hotdog sshd[66280]: Did not receive identification ssortingng from 14.182.117.161

Comme vous pouvez le voir, les gens essaient constamment de pénétrer dans mon serveur en devinant un nom d’utilisateur. Étant donné que le serveur n’accepte que les identifiants publickey, et non le mot de passe, je me considère comme relativement à l’abri de ces attaques.

La même chose s’applique à vos fichiers PHP. Ils essaient de trouver un sharepoint terminaison php sur lequel ils peuvent exécuter certains exploits. Vous pouvez utiliser des outils comme fail2ban qui aident à limiter le taux. Mais en réalité, ces attaques seront toujours présentes sur un serveur public. Le seul moyen est de vous assurer que votre logiciel résiste aux attaques.

Quelques astuces générales:

  • Ne lancez pas plus de services que nécessaire, car chaque service peut ouvrir votre serveur pour attaquer. Vérifiez quels ports vous avez ouverts avec nmap.
  • Vérifiez que votre configuration apache / nginx ne permet pas d’exécuter plus de fichiers (PHP) que nécessaire.
  • Mettez à jour votre logiciel en continu. La plupart de ces attaques sont automatisées et s’appuient donc sur des exploits publiés dans des packages communs.

J’ai l’adresse IP 183.3.202.102 et certains autres du même sous-réseau apparaissent assez fréquemment dans le journal de l’un de mes pots de miel.

Il s’est soudainement arrêté cependant. Je suppose que quelqu’un a finalement soumis un rapport d’abus et les a bannis.