Le journal des erreurs montre des visiteurs curieux qui tentent d'accéder à différentes pages d'administration
Après avoir rencontré un nombre très élevé de visites sur ma page 404, j'ai commencé à surveiller le journal des erreurs de mon site Web. J'ai constaté qu'au cours de la journée, plusieurs tentatives d'accès aux dossiers d'administration et aux éditeurs de mon site Web n'existaient pas. Par exemple, il y a eu des tentatives pour accéder à Word Press et aux dossiers d'administration de fckeditor, mais je n'ai pas non plus.
Avez-vous des idées sur ce que je devrais faire au sujet de ces tentatives et sur le fait qu'elles devraient être une cause d'inquiétude ou non?
Exemples de mon journal des erreurs:
[Mon Jun 23 16:17:17 2014] [error] [client 120.37.236.236] File does not exist: /home/[snipped]/public_html/admin, referer: [snipped].com/admin/editors/fckeditor/editor/filemanager/upload/test.html
[Mon Jun 23 16:16:39 2014] [error] [client 178.158.214.36] File does not exist: /home/[snipped]/public_html/administrator
[Mon Jun 23 16:16:39 2014] [error] [client 178.158.214.36] File does not exist: /home/[snipped]/public_html/wp-login.php
[Mon Jun 23 10:39:13 2014] [error] [client 120.37.236.217] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 08:31:49 2014] [error] [client 27.153.217.87] File does not exist: /home/[snipped]/public_html/fckeditor
[Mon Jun 23 05:34:19 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/editor
[Mon Jun 23 05:34:17 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 05:34:16 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/FCKeditor
[Mon Jun 23 05:34:12 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/editor
[Mon Jun 23 05:34:10 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 05:34:06 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/Fckeditor
Enfin, quelqu'un sait-il comment obtenir plus d'informations sur certaines des erreurs signalées dans le journal des erreurs de cPanel X? Par exemple, j'ai beaucoup d'entrées pour
Le fichier n'existe pas: 405.shtml
mais je n'ai aucune idée de la page ou du lien qui les a générés, donc je ne sais pas où aller pour résoudre le problème.
Il est peu probable qu'il s'agisse de "visiteurs" (de vraies personnes), mais il s'agira probablement de tests de logiciels automatisés pour les vulnérabilités du logiciel exécuté par votre site Web. J'ai vu ces types de demandes depuis des années. Les demandes les plus courantes pour mes serveurs sont les demandes de WordPress pages d’administration et d’extensions Microsoft FrontPage.
Si vous n'exécutez pas le logiciel, ces requêtes ne devraient avoir que très peu d'impact ou de risque pour votre site Web.
Les conseils standard pour sécuriser votre logiciel s’appliquent également aux logiciels Web: maintenez le logiciel à jour. Les vulnérabilités de sécurité dans les systèmes de gestion de contenu sont souvent découvertes. Mon hébergeur propose même de mettre à niveau automatiquement WordPress lorsque de nouvelles versions sont disponibles.
Malheureusement, la sécurité générale du site Web est trop large pour ce format "Pro Webmasters Stackexchange". La manière dont vous gérez cela dépend entièrement de la taille de votre entreprise et de ce que vous essayez de sécuriser.
Si c'est un site Web simple sans données confidentielles, ignorez-les et assurez-vous qu'il est difficile de trouver un panneau de configuration/IP restreint.
Exemple:
- Changez le panneau d'administration de website.com/admin à website.com/schwpzhashkey
- Définissez des restrictions ip dans la configuration du serveur Web pour autoriser uniquement l’accès du panneau de contrôle à certaines adresses IP.
Il n'y a probablement rien que vous ayez fait. Bienvenue dans le monde des pirates.
C'est quelque chose que je recherche.
Il existe de nombreux logiciels conçus pour aménager et pirater des sites Web. Les accès pour admin, wordpress, etc. sont au moins des tentatives paysagères pour déterminer quels systèmes vous utilisez et quelles vulnérabilités existent pour votre site. Certains accès peuvent être de véritables tentatives de piratage.
En regardant les extraits de journaux que vous avez fournis, il s'agit d'essais d'aménagement paysager. Ils tentent d'accéder à divers logiciels vulnérables PHP. Je dis possible, car à ce stade, ils essaient de déterminer ce qui est installé. C’est l’étape 1. L’étape 2 consiste ensuite à rechercher la version de tout logiciel que vous avez installé, puis à la comparer à une base de données de vulnérabilités afin de déterminer les vulnérabilités qu’ils pourront ensuite tenter. L’étape 3 consiste en des tentatives de piratage, qu’elles aboutissent ou non.
La plupart du temps, il s'agit de logiciels de chevaux de Troie issus de systèmes compromis. Le pirate informatique utilise un proxy anonyme pour donner des commandes/du code de piratage à ces systèmes de chevaux de Troie.
Je vous conseillerais vivement de garder un œil sur vos fichiers journaux et de commencer à bloquer immédiatement tous les noms de domaine et adresses IP.
Mise à jour: j'ai dû fuir plus tôt - l'un de mes entrepreneurs est arrivé tôt.
Il existe certains outils de sécurité, mais pour les serveurs Web, le meilleur semble être mod_security trouvé à l'adresse https://www.modsecurity.org/ . J'y reviendrai dans un instant.
Les conseils pour mettre à jour votre logiciel ne sont pas toujours bons. Les nouvelles installations peuvent ouvrir de nouvelles vulnérabilités. Ironiquement, les installations les plus sûres peuvent être plus anciennes. La vulnérabilité de Heart Bleed était due à une récente mise à jour. Toutefois, si vous ne l'aviez pas mise à jour immédiatement, il n'y avait pas de vulnérabilité. Un autre exemple est celui des installations plus anciennes de RedHat 6.2 avec Apache 1.2, qui ne semblent pas être compromises comme les nouvelles installations. Vous devez prendre cela au cas par cas. Une mise à jour générale de votre logiciel peut être un conseil dangereux. Les pirates sont presque toujours à la recherche de vulnérabilités récentes ou susceptibles d'être toujours installées. Il existe une vue en mouvement de la fenêtre sur la sécurité. À mesure que de nouvelles versions de logiciels sortent, les versions les plus anciennes risquent moins d'être piratées.
Néanmoins, il est judicieux de garder à l'esprit toute mise à jour de logiciel et de vérifier si une vulnérabilité existe sur votre système avant d'installer une mise à jour. Il est souvent sage de différer une mise à jour s'il n'y a rien à corriger du point de vue de la sécurité ou des fonctionnalités. Prenez l'habitude de vérifier les mises à jour et les vulnérabilités. La meilleure façon de le faire est de vérifier http://web.nvd.nist.gov/view/vuln/search?execution=e2s1 de temps en temps (en fait fréquemment) pour voir s’il y en a problèmes. Il y a une liste de courrier électronique quelque part que j'essaie de trouver. La liste de courrier électronique vous tient au courant immédiatement. Avec l'adresse Web, vous pouvez trouver tous les détails connus qui existent. Encore une fois, installez uniquement les mises à jour vulnérables ou nécessaires.
Retour à mod_security. Mod_security est comme un pare-feu WWW. Il peut bloquer la plupart, sinon toutes les tentatives de piratage, mais vous devez le conserver. Il est sage d'installer un logiciel comme celui-ci pour empêcher les tentatives d'attaque d'atteindre votre serveur Web. Vous pouvez également utiliser un filtre HTTP dans votre pare-feu si vous en avez un. Si vous connaissez les expressions régulières, il s'agit d'une option très puissante pour vous. Le fait est que le piratage ne doit pas atteindre votre serveur Web, PHP, application PHP. Mod_security est une option bien plus puissante que la mise à jour de plusieurs applications PHP, PHP au fur et à mesure de leur sortie, qui est la plate-forme la plus fréquemment piratée qui soit. En fait, PHP est un manuel à ne pas faire lors de l'écriture d'une plate-forme logicielle sécurisée.
Rappelez-vous, c’est ce que je fais dans la vie et que je pratique depuis longtemps pour tous les principaux protocoles de télécommunication et de recherche relatifs aux protocoles de sécurité pour l’infrastructure des pays. Faites attention à la sécurité si ce n'est pas chaque jour, plusieurs fois par semaine et configurez des alertes pour les annonces lorsque vous le pouvez.
J'ai le même problème. J'ai donc écrit une page 404 personnalisée qui analyse l'URL demandée, puis en fonction des modèles choisis par mes soins (dans mes fichiers journaux), affiche la page 404 standard ou ajoute leur adresse IP à un fichier préalablement vérifié. toutes mes pages sont affichées. La prochaine fois qu'ils tenteront d'accéder à N'IMPORTE QUELLE page de mon site, ils seront simplement redirigés vers leur propre adresse IP. C'est une solution rapide et sale, mais cela les empêche de voir plus loin dans mon système après un ou deux essais au lieu de milliers.
Je redirige ces pages d'attaque telles que "wp-login.php" vers notre page de sécurité.
J'en ai beaucoup sur mon site. Depuis que j'ai déjà un système en place qui me permet de bloquer facilement les adresses IP sur mon pare-feu à la volée, depuis PHP, j'ai commencé à bloquer les personnes qui ont touché l'une de ces URL pendant 7 jours.
Si vous ne pouvez ou ne voulez pas créer un tel système, vous pouvez également essayer diverses techniques pour réduire la bande passante utilisée. Bien sûr, vous ne voudriez pas vous embêter avec cela si vous obteniez des milliers de ces hits chaque jour. Vous pouvez conserver une liste de "mauvaises URL" et sur votre page 404, voir si l'URL demandée est bien sur la liste noire. Et si oui, "sortir;" tout de suite sans envoyer de données. Ce serait assez inutile pour une poignée de hits par jour, mais pas une idée terrible si vous obtenez des milliers.
Comme j'ai déjà ma liste noire dans mysql, j'ai créé un deuxième tableau pour les 404 inconnus. Toute URL demandée qui est un 404 et qui n'est pas dans ma liste noire est ajoutée à cette liste. De cette façon, je peux garder un œil sur les URL demandées et leur fréquence. Si quelque chose reçoit beaucoup de résultats, je peux l'ajouter à la liste noire et au revoir.