なぜ50.22.53.71はPHPセットアップを見つけようとしてローカルホストのNode.jsにアクセスするのでしょうか?

tag-icon tag-icon security php localhost node.js
なぜ50.22.53.71はPHPセットアップを見つけようとしてローカルホストのNode.jsにアクセスするのでしょうか?

angular-fullstack yeoman generator を使用して新しいアプリを作成し、好みに合わせて少し編集し、ローカルホストで grunt を使用して実行したところ、起動するとすぐに、定義していないパスへのリクエストが大量に届きました。

これはハッキングの試みでしょうか? もしそうなら、ハッカー (人間またはボット) はどのようにして私のサーバーがどこにあり、いつオンラインになったかをすぐに知るのでしょうか? 私はオンラインに何もしていないことに注意してください。これは単なるローカルホスト設定であり、単にインターネットに接続しているだけです。(ただし、私のルーターは 80 ポートの受信を許可しています。)

Whois は、IP アドレスが SoftLayer Technologies に属していることを示します。聞いたことがない。

Express サーバーは開発モードで 80 をリッスンしています
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71 (その他)
GET /scripts/setup.php [404] | 50.22.53.71 (その他)
GET /admin/scripts/setup.php [404] | 50.22.53.71 (その他) GET
/admin/pma/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /db/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71 (その他) GET
/mysql/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (その他) GET /phpmyadmin2/scripts/setup.php
[404] | 50.22.53.71 (その他)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /web/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (その他) GET
/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (その他)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (その他)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (その他)
GET /phpMyAdmin/ [404] | 50.22.53.71 (その他)
GET /phpmyadmin/ [404] | 50.22.53.71 (その他)
GET /mysqladmin/ [404] | 50.22.53.71 (その他)

答え1

これはハッキングの試みですか?

はい。

もしそうなら、ハッカー (人間またはボット) はどのようにして私のサーバーがどこにあり、いつオンラインになったかをすぐに知るのでしょうか?

まさにその通りですあなたはオンラインですオンラインであるというだけで、脆弱性のスキャンを受ける危険にさらされます。彼らはあなたやあなたがサーバーを設置していることを知りません。彼らはサーバーに使用されているアドレス範囲を知っており、それらのアドレスを脆弱性がないか積極的にスキャンしています。

彼らは、phpMyAdmin の脆弱性をスキャンしているか、単に phpMyAdmin または MySQL アクセスのログイン クラックを実行しています。

これは、phpMyAdmin を cPanel の背後で実行する理由の 1 つであり、MySQL をローカルホストとして実行し、オープン Web アクセスに公開しないもう 1 つの理由です。

どちらも、iframe の挿入からデータの完全な盗難まで、データベースを操作するために使用できます。

アドレスが SoftLayer (SoftLayer は世界最大のサーバー ファーム運営会社の 1 つです) からのものであるからといって、攻撃が SoftLayer がホストする侵害されたサーバーから中継されていること以外、あまり意味がありません。

ネット上のすべてのサーバーはこれらを認識します。これらがあまりにも頻繁に発生する場合、対処方法の 1 つは、リクエスト内の共通一致を取得し、mod_alias と RedirectMatch 行を使用して .htaccess で 403 を返すことです。

そして現時点では、最新の WordPress トラックバック脆弱性を狙った wp-admin および fckeditor クラックの試みも多数見られるはずです。

関連情報