Saya menggunakan WAMPServer di komputer saya untuk pengujian dan pengembangan. Saya lupa dan membiarkannya online selama beberapa hari dan saya melihat banyak permintaan acak yang bahkan tidak berasal dari IP saya. Berikut ini beberapa contohnya.
77.73.69.127 - - [29/Apr/2012:08:22:20 -0700] "HEAD /manager/html HTTP/1.0" 200 -
58.218.199.250 - - [29/Apr/2012:08:31:54 -0700] "GET http://www.verysurf.com/proxyheader.php HTTP/1.1" 404 213
58.218.199.147 - - [29/Apr/2012:08:35:37 -0700] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 200 1340
58.218.199.250 - - [29/Apr/2012:10:03:53 -0700] "GET http://61.152.144.145/judge.php HTTP/1.1" 200 1355
58.218.199.227 - - [29/Apr/2012:12:04:07 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 213
58.218.199.250 - - [29/Apr/2012:13:08:29 -0700] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 200 1335
Banyak dari mereka berasal dari IP 58.218.199.250 ini.
IP lain yang saya perhatikan telah mencoba mengakses manajer basis data saya.
200.196.48.40 - - [28/Apr/2012:16:12:32 -0700] "GET /index.php HTTP/1.1" 200 4599
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:33 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 217
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:34 -0700] "GET /db/index.php HTTP/1.1" 404 210
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /myadmin/index.php HTTP/1.1" 404 215
200.196.48.40 - - [28/Apr/2012:16:12:35 -0700] "GET /mysql/index.php HTTP/1.1" 404 213
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:36 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 224
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 216
200.196.48.40 - - [28/Apr/2012:16:12:37 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 218
200.196.48.40 - - [28/Apr/2012:16:12:38 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 403 222
Dan itulah yang dilakukan IP ini. Yah itu mengembalikan 404 karena izin hanya lokal. Dan tentu saja semua IP ini berasal dari Brasil, Cina, dan Rusia ... Haruskah saya khawatir tentang permintaan acak ini atau apakah itu normal? Apakah ini bot atau perayap?
sumber
Saya mendapatkan jenis log ini sepanjang waktu di server saya. Dan, karena saya adalah orang yang membenci upaya peretasan dan penetrasi, saya biasanya menindaklanjuti dengan melaporkan serangan penetrasi ini ke Tim Tanggap Darurat Komputer Amerika Serikat di http://www.us-cert.gov . Tentu saja saya dapat menghargai serangan ini hanya sebagai orang yang belajar untuk menjadi "pakar keamanan", tetapi mereka dapat bereksperimen di jaringan mereka sendiri, dan bukan di server saya.
Biasanya saya menjalankan alamat IP melalui situs web yang tercantum di sini http://www.iana.org/numbers .
Ini memberi saya Informasi Bisnis ISP dan email "penyalahgunaan" dari ISP peretas. Saya mengirimi mereka salinan log saya, nomor konfirmasi dari laporan saya ke US-CERT, dan catatan baik untuk memberi tahu mereka bahwa saya melaporkan kejadian ini. Selama bertahun-tahun, ini hampir 100% efektif untuk menghentikan SPAM dengan menggunakan alamat IP dari informasi header spam.
Selain itu, saya juga membuat baris kode khusus untuk server saya yang menolak semua lalu lintas dari ISP itu.
Di server saya, saya ketik "deny from xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx" atau "deny from" location.location.ru "di mana" x "atau" location.location.ru "adalah awal dan mengakhiri spektrum IP untuk ISP tersebut (dipisahkan oleh spasi - tanpa Kutipan - tinjau dokumentasi server Anda tentang penolakan atau pemblokiran IP). Anda dapat menemukan Spektrum Alamat ISP di bagian atas informasi ISP yang tercantum di situs web IANA (Pencarian WHOIS).
Ini akan memblokir SEMUA lalu lintas dari ISP itu. Cermat! Karena ini adalah langkah radikal, prosedur ini dapat memblokir puluhan ribu potensi hit yang berasal dari ISP itu, tetapi, bagi saya, saya di Amerika Serikat dan saya melayani halaman saya secara lokal, sehingga lalu lintas dari China atau Rusia tidak ada artinya. untuk saya. Saya tidak keberatan memblokir setengah dari Hong Kong atau Praha di beberapa situs web saya.
Semoga Sukses, Semoga info ini bermanfaat. Selalu gunakan perlindungan yang baik :)
sumber
Ini adalah upaya yang melanggar (setidaknya uji coba akses DB). Adalah normal untuk menerima permintaan semacam itu. Poin penting adalah memastikan database Anda dan file penting lainnya diamankan dari upaya tersebut.
sumber