Comment ces «mauvais robots» trouvent-ils mon serveur Web fermé?

J'ai installé Apache il y a quelque temps, et un rapide coup d'œil à mon access.log montre que toutes sortes d'adresses IP inconnues se connectent, principalement avec un code d'état 403, 404, 400, 408. Je n'ai aucune idée de la façon dont elles trouvent mon adresse IP, car je ne l'utilise que pour un usage personnel, et j'ai ajouté un fichier robots.txt en espérant qu'il éloignerait les moteurs de recherche. Je bloque les index et il n'y a rien de vraiment important là-dessus.

Comment ces robots (ou personnes) trouvent-ils le serveur? Est-il courant que cela se produise? Ces connexions sont-elles dangereuses / que puis-je faire à ce sujet?

En outre, de nombreuses adresses IP proviennent de toutes sortes de pays et ne résolvent pas un nom d'hôte.

Voici un tas d'exemples de ce qui se passe:

dans un grand balayage, ce bot a essayé de trouver phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

j'en reçois beaucoup:

"HEAD / HTTP/1.0" 403 - "-" "-"

beaucoup de "proxyheader.php", je reçois pas mal de requêtes avec des liens http: // dans le GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"RELIER"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

et cette merde hexagonale vraiment sommaire ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

vide

"-" 408 - "-" "-"

C'est juste l'essentiel. Je reçois toutes sortes de déchets, même avec les agents utilisateurs win95.

Merci.

Bienvenue sur Internet :)

• Comment ils vous ont trouvé: Il y a de fortes chances que le balayage IP par force brute. Tout comme leur flux constant d'analyse de vulnérabilité sur votre hôte une fois qu'il l'a trouvé.
• Pour éviter à l'avenir: Bien que cela ne soit pas totalement évitable, vous pouvez inhiber les outils de sécurité comme Fail2Ban sur Apache ou les limites de débit - ou l'interdiction manuelle - ou la configuration des ACL
• Il est très courant de voir cela sur tout matériel accessible à l'extérieur qui répond sur les ports communs
• Ce n'est dangereux que si l'hôte possède des versions non corrigées de logiciels qui peuvent être vulnérables. Ce ne sont que des tentatives aveugles pour voir si vous avez quelque chose de `` cool '' pour ces enfants de script. Considérez-le comme quelqu'un qui se promène sur le parking essayant de voir les portes des voitures pour voir si elles sont déverrouillées, assurez-vous que la vôtre l'est et il est probable qu'il la laissera tranquille.

Ce ne sont que des gens qui essaient de trouver des vulnérabilités dans les serveurs. Presque certainement fait par des machines comprimées.

Ce ne seront que des personnes qui analysent certaines plages IP - vous pouvez voir sur phpMyAdmin, qu'il essaie de trouver une version préinstallée mal sécurisée de PMA. Une fois qu'il en a trouvé un, il peut obtenir un accès surprenant au système.

Assurez-vous que votre système est à jour et que vous ne disposez d'aucun service non requis.

Ce sont des robots qui recherchent des failles de sécurité connues. Ils analysent simplement des plages de réseau entières et trouveront donc des serveurs non annoncés comme le vôtre. Ils ne jouent pas bien et ne se soucient pas de votre robots.txt. S'ils trouvent une vulnérabilité, ils l'enregistreront (et vous pouvez vous attendre à une attaque manuelle sous peu) ou infecteront automatiquement votre machine avec un rootkit ou un malware similaire. Il y a très peu de choses à faire à ce sujet et c'est juste une activité normale sur Internet. C'est la raison pour laquelle il est important de toujours installer les derniers correctifs de sécurité pour votre logiciel.

Comme d'autres l'ont fait remarquer, ils effectuent probablement un balayage par force brute. Si vous êtes sur une adresse IP dynamique, ils seront plus susceptibles de scanner votre adresse. (Les conseils suivants supposent Linux / UNIX, mais la plupart peuvent être appliqués aux serveurs Windows.)

Les moyens les plus simples de les bloquer sont:

• Port pare-feu 80 et n'autorise qu'une plage limitée d'adresses IP à accéder à votre serveur.
• Configurez les ACL (s) dans votre configuration apache qui permet uniquement à certaines adresses d'accéder à votre serveur. (Vous pouvez avoir différentes règles pour différents contenus.)
• Nécessite une authentification pour l'accès à partir d'Internet.
• Modifiez la signature du serveur pour exclure votre build. (Pas beaucoup de sécurité accrue, mais rend les attaques spécifiques à la version un peu plus difficiles.
• Installez un outil comme fail2ban, pour bloquer automatiquement leur adresse. Obtenir le ou les motifs correspondants peut prendre un peu de travail, mais si les erreurs de la série 400 sont rares pour votre vue, cela ne sera pas si difficile.

Pour limiter les dommages qu'ils peuvent causer à votre système, assurez-vous que le processus apache ne peut écrire que dans des répertoires et des fichiers qu'il devrait pouvoir modifier. Dans la plupart des cas, le serveur n'a besoin que d'un accès en lecture au contenu qu'il dessert.

Internet est un espace public, d'où le terme IP publique. Vous ne pouvez pas vous cacher sauf en définissant un moyen de refuser le public (vpn, acl sur un pare-feu, accès direct, etc.). Ces connexions sont dangereuses car, éventuellement, quelqu'un sera plus rapide à vous exploiter que vous ne le feriez pour patcher. J'envisagerais une sorte d'authentification avant de répondre.