Dev Faq
3
votes

Quelqu'un essaie-t-il de pirater? Réception de demandes suspectes sur mon serveur Apache2 Ubuntu 18.04

Charge utile de demande suspecte

Aujourd'hui, je vérifiais les journaux de mon serveur, puis j'ai remarqué des demandes qui, je pense, sont que quelqu'un essaie d'entrer dans mon serveur. J'héberge un panneau d'administration basé sur PHP Laravel (6) et des API dessus. J'ai également vérifié mes routes publiques et les autorisations des fichiers. Quelqu'un peut-il savoir quoi faire d'autre pour éviter que quelque chose de désastreux ne se produise? Merci d'avance.

Voici quelques autres demandes suspectes:

  • /Hudson
  • /cgi-bin/mainfunction.cgi
  • /? XDEBUG_SESSION_START = phpstorm
  • / solr / admin / info / system? wt = json
  • /? - a = récupérer & content =% 3Cphp% 3Edie% 28% 40md5% 28HelloThinkCMF% 29% 29% 3C% 2Fphp% 3E
  • / api / jsonws / invoke
  • /azenv.php?a=PSCMN&auth=159175997367&i=2650084793&p=80
  • ? function = call_user_func_array & s =% 2FIndex% 2F% 5Cthink% 5Capp% 2Finvokefunction & vars% 5B0% 5D = md5 & vars% 5B1% 5D% 5B0% 5D = HelloThinkPHP
  • /.well-known/security.txt
  • /sitemap.xml
  • /TP/index.php
  • /TP/public/index.php
  • /ip.ws.126.net:443
  • / nmaplowercheck1591708572
  • / evox / à propos
  • / MAPI / API
  • / evox / à propos
  • /owa/auth/logon.aspx?url=https%3A%2F%2F1%2Fecp%2F
  • /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
3 commentaires

Cette question est beaucoup trop large pour Stackoverflow. Des livres entiers sont écrits sur le thème du renforcement des serveurs contre les attaques.

Peut-être que cela m'est arrivé pour la première fois. Ce que je recherche, c'est un moyen de m'empêcher d'être forcé par ces types de scripts en essayant de trouver des vulnérabilités dans le système.

Alors achetez un de ces livres

3 Réponses :

-2
votes

Il peut s'agir simplement d'un bot automatisé recherchant certains fichiers / URL sur le serveur Web. Assurez-vous que tous vos fichiers d'environnement ne sont pas accessibles (en utilisant htaccess) et que vous disposez des derniers correctifs de sécurité de Laravel.

3 commentaires

Mais je pensais que pourquoi un robot essaierait de télécharger et d'exécuter un fichier en essayant d'injecter un script shell.

Eh bien, peut-être qu'ils n'essaient pas de l'exécuter / de le télécharger, mais il y a quelque chose qu'ils essaient. Je ne sais pas ce que cela pourrait être

Ce n'est pas un robot à la recherche de fichiers; c'est une tentative d'inclusion de fichier à distance.

0
votes

Bienvenue sur Internet.

La dernière fois que j'ai pris la peine de regarder, cela a pris environ 10 minutes après avoir branché un appareil sur une adresse IP publique qui n'avait pas été utilisée pendant plus de 6 mois avant la première attaque. Ce que vous pouvez faire est:

  • Assurez-vous que votre système d'exploitation et toutes les bibliothèques / applications tierces sont corrigées et à jour
  • Assurez-vous que l'uid exécutant votre code PHP ne peut écrire que dans des emplacements spécifiques en dehors de la racine du document (préférable nulle part sur le système de fichiers)
  • Assurez-vous que l'uid exécutant votre code PHP ne peut pas lire vos blogs
  • écrire un code sécurisé
  • Faites des sauvegardes régulières
  • Exécutez un IDS basé sur l'hôte
0 commentaires
4
votes

Ce sont parmi les nombreux robots qui essaient constamment de s'introduire dans les serveurs ou d'obtenir un accès non autorisé à votre application Web. Vous pouvez en savoir plus sur eux ici . Cela arrive à tous les serveurs, quel que soit le fournisseur de services que vous utilisez AWS / DigitalOcean / Linode ou toute autre option.

Le plus souvent, ils essaieront des URL de connexion génériques et les forceront avec un nom d'utilisateur / mot de passe par défaut ou commun. Ils sont toujours là, mais vous ne l'avez probablement pas remarqué avant d'avoir commencé à vérifier les fichiers journaux.

Pendant que nous sommes sur ce sujet, il existe également des vers SSH qui essaient constamment de forcer SSH sur votre serveur. C'est pourquoi il est important d'utiliser de bons mots de passe, ou mieux encore, de désactiver l'entrée de mot de passe dans votre serveur et d'autoriser uniquement SSH. Cela améliorera considérablement la sécurité, mais n'empêchera toujours pas leurs efforts.

Ce que vous pouvez faire pour protéger votre serveur:

  • Comme mentionné ci-dessus, la connexion par mot de passe est désactivée et n'autorise que SSH
  • Activez le pare-feu et configurez les règles de pare-feu en conséquence
  • Assurez-vous que les packages que vous utilisez disposent toujours des derniers correctifs de sécurité
  • Utilisez des outils comme Fail2Ban qui interdiront une adresse IP si les tentatives SSH échouent plus d'un laps de temps défini. Vous pouvez configurer Fail2Ban pour en faire plus, explorez la documentation
0 commentaires

Articles qui pourrait vous intéresser :

Pourquoi est-ce que j'obtiens une erreur laravel lors de la création d'un nouveau projet?
Select2 ne s'affiche pas correctement dans le mode bootstrap
Laravel Echo n'écoute pas
La validation de la demande de formulaire ne fonctionne pas. Il charge juste la page d'accueil dans Postman