web-dev-qa-db-fra.com

Pourquoi reçois-je d'étranges requêtes HTTP pour des pages inexistantes?

J'utilise un serveur Web et je regarde ce que les gens demandent. J'ai reçu du trafic fréquent comme:

GET /phph/php/ph.php HTTP/1.1

ou

GET /mrmr/mrm/mr.php HTTP/1.1

S'agit-il de scans? Les clients vérifient-ils si mon serveur est déjà compromis ou vérifient-ils si je suis vulnérable?

Pour autant que je sache, puisque je n'héberge pas de tels répertoires, ce trafic est une analyse des machines compromises; Je ne suis pas sûr, car je pense qu'il n'est pas sûr de cliquer sur les liens fournis par Google lorsque je recherche de telles choses.

35
user2738698

Ces types de demandes parasites sont très, très courants. Ils cherchent soit à voir si vous êtes déjà compromis, soit à faire en sorte que votre serveur envoie une erreur pour recueillir des informations sur votre serveur (à partir de messages d'erreur).

Vous n'êtes pas le seul:

http://shadow.wolvesincalifornia.org/awstats/data/awstats092014.shadow.wolvesincalifornia.org.txt

# URL with 404 errors - Hits - Last URL referer
BEGIN_SIDER_404 193
/admin.php 1 -
/root/back.css 1 -
/drdr/drd/dr.php 2 -
/hkhk/hkh/hk.php 1 -
/wp/2011/07/19/&amp 6 -
/ahah/aha/ah.php 1 -
/andro/back.css 1 -
/wp/comments/feed/ 1 -
/wjwj/wjw/wj.php 1 -

Nous sommes tous spammés par ces demandes.

33
schroeder

L'attaquant essaie de savoir si vous avez installé certains logiciels Web prédéfinis en demandant des fichiers qui leur sont typiques.

Quand ils découvrent que vous utilisez, par exemple, wordpress ou phpbb ou mediawiki, ils peuvent alors essayer d'utiliser des exploits spécifiques à ces applications pour reprendre votre site.

La meilleure contre-mesure consiste à éviter d'installer trop de logiciels sur votre serveur Web et à maintenir à jour les logiciels que vous avez installés.

12
Philipp

Oui, ce sont des scans.

Si vous Google ceuxchaînes vous verrez qu'ils apparaissent dans les journaux Web de nombreux sites sur Internet, généralement des sites d'hébergement Web bon marché qui mettent leurs journaux là où Google peut voir leur. C'est une indication suffisante que certains outils sont à la traîne pour cette URL.

Il n'y a pas suffisamment d'informations pour indiquer ce que l'analyse est censée faire - probablement simplement pour aider à déterminer si PHP est pris en charge et si oui, comment le serveur traite une URL non valide pour PHP.

Ces analyses peuvent probablement être ignorées en toute sécurité en tant que bruit de fond.

10
gowenfawr

Ceux-ci ressemblent aux résultats d'une analyse automatisée telle que celle proposée par Nikto ou d'une découverte de force brute de répertoire outil tel que DirBuster. Ceci est une tentative d'identifier/découvrir des fichiers et des répertoires sur votre serveur et éventuellement fournir une meilleure empreinte digitale de l'application ou révéler fichiers sensibles . Cela révèle des informations sur les modules que vous pourriez utiliser et pourraient être utilisés pour exploiter une attaque plus avancée ultérieurement ou des informations sensibles selon les fichiers trouvés. Si les journaux de demandes incluent d'autres demandes telles que:

/../../ etc/passwd

../../../../ blah/etc/passwd

ce serait une tentative de recherche de vulnérabilités Path Traversal.

En savoir plus sur Path Traversal sur: https://www.owasp.org/index.php/Path_Traversal Nikto: http://sectools.org/tool/nikto/ DirBuster: https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

0
racec0ndition