Làm thế nào để tôi phản ứng khi ai đó cố gắng đoán các directi quản trị trên trang web của tôi?

Question

Tôi đã nhận được những tin nhắn trong error.log apache cho khá trong một:

[client 217.197.152.228] File does not exist: /var/www/phpmyadmin 
[client 217.197.152.228] File does not exist: /var/www/pma 
[client 217.197.152.228] File does not exist: /var/www/admin 
[client 217.197.152.228] File does not exist: /var/www/dbadmin 
[client 217.197.152.228] File does not exist: /var/www/myadmin 
[client 217.197.152.228] File does not exist: /var/www/PHPMYADMIN 
[client 217.197.152.228] File does not exist: /var/www/phpMyAdmin 

Và nhiều địa chỉ khác nhau hơn. Có vẻ như ai đó đang cố gắng đoán vị trí của ứng dụng quản trị của tôi. Tôi nên lo sợ điều gì trong tình huống này và kiến ​​thức về địa chỉ quản trị của tôi có thể cung cấp cho kẻ tấn công, nếu mọi thứ được bảo vệ bằng mật khẩu?

Answer 1

Nếu mọi thứ bị khóa tốt, đừng lo. Đây chỉ là các cuộc tấn công tự động xảy ra với mọi URL tồn tại. Điều tương tự cũng xảy ra với tôi, và tôi thậm chí không chạy PHP trên máy chủ của tôi.

Nếu bạn không có các bản vá lỗi mới nhất (như nói, WordPress), thì có đây là một vấn đề lớn, nhưng một vấn đề tương đối dễ sửa.

Answer 2

Nếu họ tìm thấy trang đăng nhập, họ có thể cố gắng thực hiện một phương thức bẻ khóa mật khẩu brute force attack hoặc khác.

Trong những trường hợp này nếu có IP liên tục hiển thị hành vi như vậy, chúng tôi sẽ chặn nó với denyhosts và ModSecurity.

Answer 3

Có vẻ như anh ấy đang tìm kiếm các cài đặt PHPMySQLAdmin, có thể tự động thử và sử dụng các khai thác đã biết trên các phiên bản cũ.

Nếu bạn không sử dụng PHPMyAdmin, bạn sẽ ổn. Nếu bạn làm như vậy, hãy chắc chắn rằng nó được cập nhật lên phiên bản mới nhất và có thể chuyển nó sang một URL không thể đoán trước được.

Answer 4

Nếu bạn đã bảo vệ mọi thứ, đó không phải là vấn đề lớn. http://217.197.152.228/phpmyadmin/ < - đó là nơi phpmyadmin của bạn đang chạy. Dường như nó được bảo vệ qua vv vì vậy đừng lo lắng quá nhiều!

Có một số khai thác mà sẽ tiết lộ thông tin trong thực tế, phpmyadmin của bạn là vulnarable một số cuộc tấn công:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0204

Có lẽ bạn nên kiểm tra khai thác tài liệu trên phiên bản phpmyadmin của bạn.

Answer 5

nếu bạn có admin hoặc thư mục bị hạn chế bạn có thể cấu hình nó trong htaccess để hạn chế truy cập chỉ ip hoặc ip của bạn nhiều như thế này

<Directory /var/www/AdminFolder/> 
    Options FollowSymLinks 
    Order Deny,Allow 
    Deny from all 
    Allow from 128.98.2.4 # your ip only 
</Directory> 

Nó sẽ chỉ là một giải pháp tốt nếu bạn có ip tĩnh, nhưng sau đó bạn sẽ hoàn toàn chắc chắn rằng bạn sẽ là người duy nhất để vào bên trong adminfolder

Answer 6

Trước tiên ... Không bao giờ cài đặt trong một thư mục mặc định.

Thứ hai ... Nếu bạn "Phải" sử dụng chương trình prefab, hãy đổi tên thư mục quản trị thành thứ gì đó ít ngon hơn, như "bài tập về nhà". Không ai sẽ nhìn vào đó vì bất cứ điều gì quan trọng. (Do nhiều kỹ thuật mã hóa kém của các chương trình prefab, chúng không hoạt động khi bạn định vị lại và đổi tên các thư mục. Bạn sẽ nghĩ rằng bảo mật sẽ là mục tiêu chính của chúng, nhưng có một thư mục quản trị ở cấp độ www/home và không có khả năng chọn vị trí hoặc tên, là dấu hiệu đầu tiên của bạn lập trình kém.)

Thứ ba ... Di chuyển tất cả BAO GỒM của bạn trên www/home. (Di chuyển ở trên = di chuyển trở lại một cấp, vào thư mục chứa thư mục www/home.) Một lần nữa, mong đợi để có được bàn tay của bạn ướt với mã, như các lập trình viên nhiều khả năng đã không làm theo đó bảo mật đơn giản commonplace với mã. Bạn sẽ phải yêu cầu mã của bạn nhìn vào đường dẫn mới bao gồm đường dẫn, bây giờ nằm ​​phía trên thư mục www/home.

Thứ tư ... Nếu có thể, hãy thiết lập LOCK-OUT trên thư mục quản trị của bạn. Sử dụng FTP hoặc C_Panel để mở khóa thư mục, chỉ khi cần. Bạn không nên đăng nhập hàng ngày hoặc đăng nhập chung. Đối với tất cả những gì bạn biết, bạn có một vi-rút trên máy tính của bạn và nó đang theo dõi bạn gõ mật khẩu của bạn mỗi lần, hoặc nắm bắt cookie của bạn, hoặc tiêm sâu vào máy chủ của bạn một khi bạn đã đăng nhập. Cách tốt hơn là tìm các chương trình với các điều khiển quản trị bên ngoài. EG, không có phần mềm trên máy chủ. Phần mềm này vẫn nằm trên PC của bạn và nó chỉ truy cập vào máy chủ của bạn để cập nhật các thay đổi, một thời gian ngắn.

Thứ năm ... Nhận plugin danh sách đen cho máy chủ của bạn hoặc yêu cầu một plugin. HOST của bạn nên chặn các loại quét rõ ràng đó ở cấp bộ định tuyến, gửi các yêu cầu lặp lại đến lỗ đen. Máy chủ không cung cấp mức bảo mật thấp nhất, không nên sử dụng. Đó là những gì các tin tặc sử dụng, vì chúng không chặn chúng khi chúng tấn công. (Mong rằng NETWORK NEIGHBORS của bạn là những hacker tiềm năng trên một máy chủ chia sẻ. Họ sẽ đánh bắt cá bên trong các tệp tin tạm thời của bạn cho các phiên, dữ liệu cookie, mã dự phòng, dữ liệu sql-ram, vv… Tìm kiếm bất cứ điều gì quan trọng. Thông thường khách hàng của bạn e-mail và mật khẩu, thông tin CC, thông tin paypal, số điện thoại, địa chỉ, và bất cứ điều gì khác không đóng đinh, để bán.)

Thứ sáu ... Tìm máy chủ không có sẵn chương trình prefab. Tại sao? Bởi vì tất cả chúng đều là bảo mật kém, các phiên bản yester-ware miễn phí, không thể vá được, cấu hình kém và hàng xóm của bạn cũng đang sử dụng chúng. Nếu bạn không có hàng xóm, tuyệt vời ... nhưng điều đó không làm cho bạn an toàn hơn. Trình cài đặt đã giảm bảo mật máy chủ của bạn, vì vậy họ có thể truy cập để cài đặt chương trình, ngay cả khi bạn không bao giờ cài đặt một trong số chúng. Tin tặc cũng khai thác, cài đặt thứ mà họ biết họ có thể hack, tồn tại trong bảng điều khiển c hoặc máy chủ của bạn, và sau đó họ hack vào thông qua những chương trình đã được khai thác.

LOL, chỉ cần in sách ... J/K, cũng có thể tấn công được!

Bạn biết những gì không thể hack ... HTML thuần túy, trên máy chủ không có PHP, ASP, MySQL, FTP, e-mail và tất cả những thứ khác mà tất cả chúng ta đều yêu thích. Ồ, nhưng HTML phải có trên một đĩa CD, hoặc một ổ đĩa cứng với các đầu xóa đã không còn nữa. Hehe ...