web-dev-qa-db-fra.com

Qu'est-ce que les araignées tentent d'atteindre sur mon site en récupérant de nombreuses URL inexistantes telles que diverses versions de phpMyAdmin?

J'ai récemment mis en place un serveur de compilation qui compile Java source sur Github webhooks. J'ai créé une page publique pour le téléchargement des derniers fichiers .jars avec un domaine de premier niveau et je lui enregistre les demandes. Quelles sont les intentions communes pour les demandes automatisées envoyées à mon serveur?

[18.11.2014 02:06:23]    64.20.55.236      3ms /mysql/main.php
[18.11.2014 02:06:23]    64.20.55.236      2ms /sql/main.php
[18.11.2014 02:06:24]    64.20.55.236      2ms /PMA/main.php
[18.11.2014 02:06:24]    64.20.55.236      3ms /admin/main.php
[18.11.2014 02:06:24]    64.20.55.236      3ms /dbadmin/main.php
[18.11.2014 02:06:24]    64.20.55.236      3ms /myadmin/main.php
[18.11.2014 02:06:25]    64.20.55.236      3ms /db/main.php
[18.11.2014 02:06:28]    64.20.55.236      2ms /sqlmanager/main.php
[18.11.2014 02:06:28]    64.20.55.236      2ms /phpmyadmin2/main.php
[18.11.2014 02:06:28]    64.20.55.236      2ms /phpMyAdmin2/main.php
[18.11.2014 02:06:29]    64.20.55.236      2ms /phpMyAdmin-2/main.php
[18.11.2014 02:06:29]    64.20.55.236      2ms /php-my-admin/main.php
[18.11.2014 02:06:29]    64.20.55.236      2ms /phpMyAdmin-3.5.8-rc1/main.php
[18.11.2014 02:06:29]    64.20.55.236      2ms /phpMyAdmin-4.0.0-rc1/main.php
[18.11.2014 02:06:29]    64.20.55.236      2ms /phpMyAdmin-3.5.7-1/main.php
[18.11.2014 02:06:30]    64.20.55.236      3ms /phpMyAdmin-3.5.7/main.php
[18.11.2014 02:06:30]    64.20.55.236      2ms /phpMyAdmin-3.5.6/main.php
[18.11.2014 02:06:31]    64.20.55.236      2ms /phpMyAdmin-3.5.5/main.php
[18.11.2014 02:06:31]    64.20.55.236      2ms /phpMyAdmin-3.5.4/main.php
[18.11.2014 02:06:31]    64.20.55.236      2ms /phpMyAdmin-3.5.3/main.php
[18.11.2014 02:06:32]    64.20.55.236      3ms /phpMyAdmin-3.5.2.2/main.php
[18.11.2014 02:06:35]    64.20.55.236      2ms /phpMyAdmin-3.4.11.1/main.php
[18.11.2014 02:06:35]    64.20.55.236      2ms /phpMyAdmin-3.4.11.1-1/main.php
[18.11.2014 02:06:35]    64.20.55.236      2ms /phpMyAdmin-3.5.2.1/main.php
[18.11.2014 02:06:39]    64.20.55.236      2ms /phpMyAdmin-3.5.2/main.php
[18.11.2014 02:06:39]    64.20.55.236      2ms /phpMyAdmin-3.5.1/main.php

D'accord, quelqu'un essaie de savoir si phpmyadmin est installé en demandant les chemins d'accès aux dossiers phpmyadmin couramment utilisés. Mais que pourrait faire un attaquant s’il sait où j’ai phpmyadmin? Est-ce qu'il essaierait de se connecter en tant que root avec une liste de mots de mots de passe?

[18.11.2014 21:53:00]   218.59.238.93      4ms http://www.anonymousproxylist.net/azenv2.php
[18.11.2014 21:53:17]   218.59.238.93      4ms http://yazoodle.net/azenv.php
[18.11.2014 21:53:43]   218.59.238.93      4ms http://sonke31.free.fr/world.php
[18.11.2014 21:54:57]   218.59.238.93      5ms http://sonke31.free.fr/world.php
[18.11.2014 21:57:08]   218.59.238.93      4ms http://sonke31.free.fr/world.php
[18.11.2014 21:59:38]   218.59.238.93      4ms http://proxyjudge.us/
[18.11.2014 23:00:00]   218.59.238.93      4ms http://www.proxyjudge.biz/az.php
[18.11.2014 23:00:20]   218.59.238.93      4ms http://azenv.net/
[18.11.2014 23:00:44]   218.59.238.93      7ms http://www.mesregies.com/azz.php

Ces demandes ne commencent pas par /, elles ne peuvent donc pas provenir d'un navigateur normal. Si je visite les liens, les pages affichent des informations sur ma demande.

[17.11.2014 07:40:50]  198.27.100.229      3ms /baba/bab/ba.php
[18.11.2014 03:33:47]    123.57.15.26      3ms /xbxb/xbx/xb.php
[18.11.2014 14:39:52] 118.174.140.130      4ms /jcjc/jcj/jc.php
[18.11.2014 21:31:04]  118.142.99.110      3ms /aiai/aia/ai.php

Ces demandes reposent sur le même schéma, mais je ne vois pas pourquoi quelqu'un pourrait rechercher un fichier .php sur ces chemins.

securityapachephpmyadminweb-crawlers
1
Aich

Donc, il y a déjà quelques réponses données. Pour le second ensemble, celui avec le http://url dans la requête, ceux-ci essaient de trouver mal configuré (non sécurisé) serveurs proxy qui pourrait être grand ouvert.

Celles-ci peuvent ensuite être utilisées pour masquer la véritable origine des attaques/analyses dirigées sur une autre machine. L'autre machine verra alors l'attaque comme si elle venait de vous.

Et à propos de phpMyAdmin: un attaquant peut faire beaucoup de choses s’il sait quel logiciel/quelle version vous avez. Vous pouvez trouver une liste précise de bugs/problèmes de sécurité ici .

2
Zimmi

D'accord. La plupart de ces accès (au moins) sont des tentatives paysagères visant à détecter des vulnérabilités potentielles sur votre serveur. Ils essaient de prendre votre empreinte digitale sur votre serveur pour savoir quelles applications Web sont installées. Les premier et troisième ensembles sont clairement paysagers. La deuxième série peut être le résultat d’en-têtes de demande falsifiés, mais elle risque tout de même d’être un aménagement paysager - pas certaine.

Il est très probable que ces systèmes soient compromis.

Voici quelques détails avec le code de blocage .htaccess pour chacun:

64.20.55.236 NEW JERSEY INTERNATIONAL INTERNET EXCHANGE LLC

Plage d'adresses IP: 64.20.32.0 - 64.20.57.255

RewriteCond %{REMOTE_ADDR} ^64\.20\.(0*[3-5]*[2-7]*)\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

218.59.238.93 CNCGROUP China169 Backbone (Ce réseau est bien connu pour ses activités de piratage.)

Plage d'adresses IP: 218.56.0.0 - 218.62.127.255

RewriteCond %{REMOTE_ADDR} ^218\.(0*[5-6]*[6789012]*)\.([0-1]*[0-2]*[0-7]*)\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

198.27.100.229 Systèmes OVH

Plage d'adresses IP: 198.27.64.0 - 198.27.127.255

RewriteCond %{REMOTE_ADDR} ^198\.27\.([0-1]*[6789012]*[4-7]*)\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

123.57.15.26 (Je n'ai pas d'attribut ASN attribué à cet effet, le code de blocage ne bloque que l'adresse IP.)

RewriteCond %{REMOTE_ADDR} ^123\.57\.15\.26$ [NC]
RewriteRule .* - [F,L]

118.174.140.130 TOT Public Company Limited

Plage d'adresses IP: 118.174.19.0 - 118.175.255.255

RewriteCond %{REMOTE_ADDR} ^118\.(1*7*[4-5]*)\.([0-2]*[1-5]*[9012345]*)\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

118.142.99.110 Hutchison Global Communications

Plage d'adresses IP: 118.140.0.0 - 118.143.0.255

RewriteCond %{REMOTE_ADDR} ^118\.(1*4*[0-3]*)\.0\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

Vous pouvez également les combiner comme dans cet exemple:

RewriteCond %{REMOTE_ADDR} ^123\.57\.15\.26$ [NC, OR]
RewriteCond %{REMOTE_ADDR} ^118\.(1*4*[0-3]*)\.0\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

... où le OR est inclus sur chaque ligne pour inclure plusieurs conditions.

Si vous avez plus d’adresses IP, veuillez éditer la question et les inclure. Je peux éditer la réponse avec plus de code. Aussi, s'il vous plaît laissez-moi savoir s'il était nécessaire d'échapper à la. [Point] afin que je puisse mettre à jour cette réponse et mon utilitaire pour les inclure pour l'avenir.

1
closetnoc