Ich habe gerade eine neue App mit dem Angular-Fullstack-Yeoman-Generator erstellt, sie ein wenig nach meinem Geschmack bearbeitet und sie mit Grunt auf meinem lokalen Host ausgeführt. Gleich nach dem Start erhalte ich eine Flut von Anfragen an Pfade, die ich nicht einmal definiert habe.
Handelt es sich hier um einen Hackerangriff? Und wenn ja, woher weiß der Hacker (Mensch oder Bot) sofort, wo sich mein Server befindet und wann er online gegangen ist? Beachten Sie, dass ich nichts online gestellt habe, es ist nur ein Localhost-Setup und ich bin lediglich mit dem Internet verbunden. (Obwohl mein Router eingehenden 80-Port-Datenverkehr zulässt.)
Whois zeigt, dass die IP-Adresse zu SoftLayer Technologies gehört.Habe nie davon gehört.
Express-Server lauscht auf 80, im Entwicklungsmodus
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71 (Andere)
GET /scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /admin/scripts/setup.php [404] | 50.22.53.71 (Andere) GET
/admin/pma/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /db/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71 (Andere) GET /mysql/scripts/setup.php [404] | 50.22.53.71 (
Andere)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Andere) GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71
(Andere)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /web/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (Andere)
GET /php-my-admin/scripts/setup.php [404 ] | 50.22.53.71 (Andere)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (Andere)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (Andere)
GET /phpMyAdmin/ [404] | 50.22.53.71 (Andere)
GET /phpmyadmin/ [404] | 50.22.53.71 (Andere)
GET /mysqladmin/ [404] | 50.22.53.71 (Andere)
Antwort1
Handelt es sich hierbei um einen Hackerangriff?
Ja.
Und wenn ja, woher weiß der Hacker (Mensch oder Bot) sofort, wo sich mein Server befindet und wann er online gegangen ist?
Du hast den Nagel auf den Kopf getroffen,Du bist online. Allein die Tatsache, dass Sie online sind, setzt Sie der Gefahr aus, auf Schwachstellen gescannt zu werden. Sie kennen Sie nicht und wissen auch nicht, dass Sie einen Server eingerichtet haben. Sie kennen die für Server verwendeten Adressbereiche und scannen diese Adressen aktiv auf Schwachstellen.
Sie suchen nach phpMyAdmin-Schwachstellen oder führen einfach einen altmodischen Login-Crack für den phpMyAdmin- oder MySQL-Zugriff aus.
Dies ist ein Grund, warum Sie phpMyAdmin hinter cPanel ausführen, und ein weiterer Grund, warum Sie MySQL als lokalen Host ausführen und es keinem offenen Webzugriff aussetzen.
Beide können verwendet werden, um Ihre Datenbanken zu manipulieren, vom Einfügen von Iframes bis hin zum regelrechten Diebstahl von Daten.
Nur weil die Adresse von SoftLayer stammt (SoftLayer ist einer der größten Serverfarm-Anbieter der Welt), bedeutet das nicht viel, es sei denn, der Angriff wird von einem kompromittierten Server weitergeleitet, den sie hosten.
Jeder Server im Netz sieht diese. Wenn sie zu hartnäckig sind, können Sie damit umgehen, indem Sie eine gemeinsame Übereinstimmung in den Anfragen nehmen und sie in Ihrer .htaccess mit mod_alias und einer RedirectMatch-Zeile als 403 ausgeben.
Und im Moment dürften Sie auch viele Crackversuche für wp-admin und fckeditor für die neueste WordPress-Trackback-Sicherheitslücke sehen.