Qualcuno sta cercando di entrare nel mio server?

Question

Ho ospitato la mia applicazione Rails la scorsa settimana. Oggi stavo esaminando il nostro file di registro e ho notato molte richieste come questa.

I, [2016-03-14T00:42:18.501703 #21223] INFO -- : Started GET "/testproxy.php" for 185.49.14.190 at 2016-03-14 00:42:18 -0400 
F, [2016-03-14T00:42:18.510616 #21223] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/testproxy.php"): 

Qualcuno sta cercando di passare a testproxy.php da un indirizzo IP diverso. Alcuni IP provengono dalla Polonia e altri dal Hong Kong. Sono stato attaccato da qualcuno. Quali sono le mie opzioni per proteggermi.

Qui ci sono altre uscite dal file di log:

I, [2016-03-14T03:09:24.945467 #15399] INFO -- : Started GET "/clientaccesspolicy.xml" for 107.22.223.242 at 2016-03-14 03:09:24 -0400 
F, [2016-03-14T03:09:24.949328 #15399] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/clientaccesspolicy.xml"): 

indirizzo IP diverso:

I, [2016-03-14T16:03:47.793731 #15399] INFO -- : Started GET "/testproxy.php" for 178.216.200.48 at 2016-03-14 16:03:47 -0400 
F, [2016-03-14T16:03:47.818519 #15399] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/testproxy.php"): 

search.php

I, [2016-03-14T19:41:14.261843 #15399] INFO -- : Started GET "/forum/search.php" for 164.132.161.67 at 2016-03-14 19:41:14 -0400 
F, [2016-03-14T19:41:14.266563 #15399] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/forum/search.php"): 

forum/index.php

I, [2016-03-15T10:54:55.254785 #26469] INFO -- : Started GET "/forum/index.php" for 164.132.161.56 at 2016-03-15 10:54:55 -0400 
F, [2016-03-15T10:54:55.266456 #26469] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/forum/index.php"): 

phpmyadim/scripts/setup.php

I, [2016-03-15T13:21:36.862918 #26469] INFO -- : Started GET "/phpMyAdmin/scripts/setup.php" for 103.25.73.234 at 2016-03-15 13:21:36 -0400 
F, [2016-03-15T13:21:36.867050 #26469] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/phpMyAdmin/scripts/setup.php"): 

another setup.php

I, [2016-03-15T13:21:37.452097 #26469] INFO -- : Started GET "/pma/scripts/setup.php" for 103.25.73.234 at 2016-03-15 13:21:37 -0400 
F, [2016-03-15T13:21:37.453647 #26469] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/pma/scripts/setup.php"): 

myadmin/scripts/setup.php

I, [2016-03-15T13:21:38.034283 #26469] INFO -- : Started GET "/myadmin/scripts/setup.php" for 103.25.73.234 at 2016-03-15 13:21:38 -0400 
F, [2016-03-15T13:21:38.041563 #26469] FATAL -- : 
ActionController::RoutingError (No route matches [GET] "/myadmin/scripts/setup.php"): 

e un sacco di altre cose. Per favore dimmi come posso proteggermi da quegli attacchi.

Answer 1

Questo è normale quando si esegue un server pubblico. Ecco un estratto di auth.log del mio server casalingo:

Mar 14 19:22:36 hotdog sshd[65937]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] 
Mar 14 19:22:37 hotdog sshd[65939]: Invalid user ubnt from 181.214.92.11 
Mar 14 19:22:37 hotdog sshd[65939]: input_userauth_request: invalid user ubnt [preauth] 
Mar 14 19:22:37 hotdog sshd[65939]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] 
Mar 14 19:22:38 hotdog sshd[65941]: Invalid user support from 181.214.92.11 
Mar 14 19:22:38 hotdog sshd[65941]: input_userauth_request: invalid user support [preauth] 
Mar 14 19:22:38 hotdog sshd[65941]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] 
Mar 14 19:22:39 hotdog sshd[65943]: Invalid user oracle from 181.214.92.11 
Mar 14 19:22:39 hotdog sshd[65943]: input_userauth_request: invalid user oracle [preauth] 
Mar 14 19:22:39 hotdog sshd[65943]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] 
Mar 14 19:22:40 hotdog sshd[65945]: Received disconnect from 181.214.92.11: 11: Bye Bye [preauth] 
Mar 14 19:24:04 hotdog sshd[65947]: fatal: Read from socket failed: Operation timed out [preauth] 
Mar 14 20:01:19 hotdog sshd[66032]: Received disconnect from 183.3.202.102: 11: [preauth] 
Mar 14 20:40:17 hotdog sshd[66092]: Invalid user cacti from 199.217.117.71 
Mar 14 20:40:17 hotdog sshd[66092]: input_userauth_request: invalid user cacti [preauth] 
Mar 14 20:40:17 hotdog sshd[66092]: Connection closed by 199.217.117.71 [preauth] 
Mar 14 21:32:09 hotdog sshd[66188]: Received disconnect from 183.3.202.102: 11: [preauth] 
Mar 14 22:01:59 hotdog sshd[66256]: Invalid user user1 from 199.217.117.71 
Mar 14 22:01:59 hotdog sshd[66256]: input_userauth_request: invalid user user1 [preauth] 
Mar 14 22:02:00 hotdog sshd[66256]: Connection closed by 199.217.117.71 [preauth] 
Mar 14 22:17:57 hotdog sshd[66280]: Did not receive identification string from 14.182.117.161 

Come si può vedere le persone sono costantemente cercando di entrare nel mio server, cercando di indovinare un nome utente. Dal momento che il server accetta solo login publickey, non password, credo di essere abbastanza sicuro da questi attacchi particolari.

Lo stesso vale per i file PHP. Stanno cercando di trovare un endpoint php su cui possono eseguire alcuni exploit predefiniti. È possibile utilizzare strumenti come fail2ban che aiutano con i limiti di velocità. Ma in realtà questi attacchi saranno sempre presenti su un server pubblico. L'unico modo è assicurarsi che il tuo software possa resistere agli attacchi.

Alcuni consigli di buon senso generale:

• non eseguire più servizi di cui avete bisogno, come qualsiasi servizio potrebbe aprire il server per attaccare. Verifica quali porte hai aperto con nmap.
• Verificare che la propria configurazione di apache/nginx non consenta l'esecuzione di più file (PHP) del necessario.
• Aggiorna il tuo software in modo continuo. La maggior parte di questi attacchi è automatizzata e quindi si basa su exploit pubblicati in pacchetti comuni.

Answer 2

Ho l'indirizzo IP 183.3.202.102 e alcuni altri dalla stessa subnet appaiono abbastanza frequentemente nel registro di uno dei miei honeypot.

Si è improvvisamente fermato. Suppongo che qualcuno abbia finalmente presentato un rapporto di abuso e li abbia banditi.