Журнал ошибок показывает любопытных посетителей, пытающихся получить доступ к различным страницам администратора
После очень большого количества просмотров на моей странице 404 я начал отслеживать журнал ошибок моего сайта. Там я обнаружил, что в течение дня было предпринято несколько попыток доступа к папкам администратора и редакторам на моем веб-сайте, которых у меня не существует. Например, есть попытки получить доступ к папкам администратора Word Press и fckeditor, но у меня нет ни того, ни другого.
Любые мысли относительно того, что я должен делать с этими попытками, и должны ли они быть причиной из-за беспокойства или нет?
Примеры из моего журнала ошибок:
[Mon Jun 23 16:17:17 2014] [error] [client 120.37.236.236] File does not exist: /home/[snipped]/public_html/admin, referer: [snipped].com/admin/editors/fckeditor/editor/filemanager/upload/test.html
[Mon Jun 23 16:16:39 2014] [error] [client 178.158.214.36] File does not exist: /home/[snipped]/public_html/administrator
[Mon Jun 23 16:16:39 2014] [error] [client 178.158.214.36] File does not exist: /home/[snipped]/public_html/wp-login.php
[Mon Jun 23 10:39:13 2014] [error] [client 120.37.236.217] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 08:31:49 2014] [error] [client 27.153.217.87] File does not exist: /home/[snipped]/public_html/fckeditor
[Mon Jun 23 05:34:19 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/editor
[Mon Jun 23 05:34:17 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 05:34:16 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/FCKeditor
[Mon Jun 23 05:34:12 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/editor
[Mon Jun 23 05:34:10 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/admin
[Mon Jun 23 05:34:06 2014] [error] [client 115.29.14.241] File does not exist: /home/[snipped]/public_html/Fckeditor
Наконец, кто-нибудь знает, как я могу получить дополнительную информацию о некоторых ошибках, о которых сообщается в журнале ошибок cPanel X? Например, у меня есть много записей для
Файл не существует: 405.shtml
Но я понятия не имею, какая страница или ссылка их породили, поэтому я не знаю, куда идти, чтобы устранить источник проблемы.
6 answers
Вряд ли это будут "посетители" (реальные люди), но, скорее всего, это будет автоматическое тестирование программного обеспечения на наличие уязвимостей в программном обеспечении, запущенном вашим сайтом. Я видел подобные запросы в течение многих лет. Наиболее распространенными для моих серверов являются запросы на страницы администрирования WordPress и расширения Microsoft FrontPage.
Если вы не используете программное обеспечение, эти запросы должны иметь очень незначительное влияние или риск для вашего веб-сайта.
Стандартный совет по сохранению вашего безопасность программного обеспечения распространяется и на веб-программное обеспечение: Поддерживайте программное обеспечение в актуальном состоянии. Уязвимости безопасности в системах управления контентом обнаруживаются часто. Мой веб-хост даже предлагает автоматически обновлять WordPress для меня, когда выходят новые версии.
К сожалению, общая безопасность веб-сайта слишком широка для этого формата "Pro Webmasters Stackexchange". То, как вы справитесь с этим, полностью зависит от размера вашей компании и того, что вы пытаетесь обеспечить.
Если это простой веб-сайт без конфиденциальных данных, просто игнорируйте их и убедитесь, что любые панели управления трудно найти /ip-адрес ограничен.
Пример:
- Измените панель администратора с website.com/admin чтобы website.com/schwpzhashkey
- Введите ip-адрес ограничения в конфигурации веб-сервера, разрешающие доступ панели управления только к определенным IP-адресам.
Скорее всего, вы ничего не сделали. Добро пожаловать в мир хакеров.
Это то, что я исследую.
Существует множество программных пакетов, предназначенных для создания ландшафта и взлома веб-сайтов. Доступ для администратора, wordpress и т. Д. - Это, по крайней мере, попытка выяснить, какие системы вы используете и какие уязвимости существуют для вашего сайта. Некоторые доступы могут быть фактическими попытками взлома.
Если посмотреть на предоставленные вами фрагменты журнала, то это попытки озеленения. Они пытаются получить доступ к различным возможным уязвимым программам PHP. Я говорю "возможно", потому что на данный момент они пытаются выяснить, что установлено. Это шаг 1. Шаг 2 заключается в том, чтобы затем проверить любое установленное вами программное обеспечение на наличие версии, которая затем сравнивается с базой данных уязвимостей, чтобы определить, какие уязвимости они могут использовать в следующий раз. Шаг 3 - это фактические попытки взлома, независимо от того, успешны они или нет.
В большинстве случаев это троянский конь программное обеспечение из скомпрометированных систем. Хакер работает через анонимный прокси-сервер, чтобы давать команды/код взлома этим троянским системам.
Я бы настоятельно посоветовал вам следить за своими файлами журналов и немедленно начать блокировать любые доменные имена и IP-адреса.
Обновление: Мне пришлось сбежать раньше - один из моих подрядчиков появился рано.
Существуют некоторые инструменты безопасности, но для веб-серверов лучшим, по-видимому, является mod_security, найденный по адресу https://www.modsecurity.org /. Я вернусь к этому через секунду.
Совет часто обновлять программное обеспечение не всегда является хорошим. Новые установки могут открыть новые уязвимости. По иронии судьбы, более безопасные установки могут быть более старыми. В данном случае уязвимость сердечного кровотечения была вызвана недавним обновлением, однако, если вы не обновили его сразу, уязвимости не было. Другим примером являются более старые установки RedHat 6.2 с Apache 1.2, которые, похоже, не скомпрометирован, как новые установки. Вы должны принимать это в каждом конкретном случае. Общее обновление вашего программного обеспечения может быть опасным советом. Хакеры почти всегда ищут недавние уязвимости или уязвимости, которые, вероятно, все еще установлены. Существует представление о безопасности в стиле движущегося окна. По мере появления новых версий программного обеспечения вероятность взлома старых снижается.
Тем не менее, в целом, это хорошая идея, чтобы иметь в виду любое обновление программного обеспечения и проверьте, существует ли уязвимость в вашей системе, прежде чем устанавливать обновление. Часто бывает разумно отложить обновление, если нет ничего, что нужно исправить с точки зрения безопасности или функциональности. Возьмите за привычку проверять наличие обновлений и уязвимостей. Лучший способ сделать это - проверить http://web.nvd.nist.gov/view/vuln/search?execution=e2s1 время от времени (на самом деле часто), чтобы узнать, есть ли проблемы. Где-то есть список электронной почты, который я пытаюсь найти. Список электронной почты немедленно информирует вас о веб-адресе, по которому вы можете найти все известные сведения. Опять же, устанавливайте только те обновления, которые уязвимы или необходимы.
Вернемся к mod_security. Mod_security похож на брандмауэр WWW. Он может блокировать большинство, если не все попытки взлома, но вы должны поддерживать его. Разумно установить подобное программное обеспечение, чтобы предотвратить попытки атаки на ваш веб-сервер. Вы также можете использовать HTTP-фильтр в своем брандмауэре, если он у вас есть. Если вы знакомы с регулярные выражения, это очень мощный вариант для вас. Дело в том, что взлом не должен достигать вашего веб-сервера, PHP, PHP-приложения. Mod_security - это гораздо более мощный вариант, чем обновление нескольких PHP-приложений, PHP по мере их выхода, который является наиболее часто взламываемой платформой с огромным отрывом. На самом деле, PHP - это учебник о том, чего не следует делать при написании безопасной программной платформы.
Помните - это то, чем я зарабатываю на жизнь и в течение длительного времени занимаюсь всеми основными телекоммуникации и исследования протоколов безопасности для инфраструктуры стран. Обращайте внимание на безопасность если не каждый день, то несколько раз в неделю и настраивайте оповещения для объявлений там, где можете.
У меня та же проблема, поэтому я написал пользовательскую страницу 404, которая анализирует запрошенный URL-адрес, затем на основе шаблонов, которые я выбираю (из моих файлов журнала), либо отображает стандартную страницу 404, либо добавляет их IP-адрес в файл, который проверяется перед отображением любой из моих страниц. В следующий раз, когда они попытаются получить доступ к ЛЮБОЙ странице моего сайта, они просто перенаправляются обратно на свой собственный IP-адрес. Это быстрое и грязное решение, но оно не позволяет им заглянуть дальше в мою систему после одной или двух попыток вместо тысяч.
Я перенаправляю эти страницы атак, такие как"wp-login.php "на нашу страницу безопасности.
Я часто получаю их на своем сайте. Поскольку у меня уже есть система, которая позволяет мне легко блокировать IP-адреса на моем брандмауэре на лету, с PHP, я начал блокировать людей, которые попали на любой из этих URL-адресов в течение 7 дней.
Если вы не можете или не хотите создавать подобную систему, вы также можете попробовать различные методы, чтобы уменьшить используемую пропускную способность. Конечно, вы хотели бы беспокоиться об этом только в том случае, если бы получали тысячи таких обращений в день. Вы могли бы вести список "плохих URL-адресов", и на своей странице 404 посмотрите, есть ли фактический запрошенный URL-адрес в черном списке. И если это так, "выйдите"; сразу же, не отправляя никаких данных. Это было бы довольно бессмысленно для нескольких обращений в день, но не такая уж плохая идея, если вы получаете тысячи.
Поскольку у меня уже есть свой черный список в mysql, я создал вторую таблицу для неизвестных 404-х годов. Любой запрошенный URL-адрес 404, которого нет в моем черном списке, добавляется в этот список. Таким образом, я могу следить за тем, какие URL-адреса запрашиваются и как часто. Если что-то получает много просмотров, я могу добавить это в черный список и до свидания.