Acabo de crear una nueva aplicación usando el generador yeoman angular-fullstack, la edité un poco a mi gusto y la ejecuté con gruñido en mi host local, e inmediatamente después de iniciar recibo esta avalancha de solicitudes a rutas que ni siquiera he definido. .
¿Es este un intento de piratería? Y si es así, ¿cómo sabe inmediatamente el hacker (humano o robot) dónde está mi servidor y cuándo se conectó? Tenga en cuenta que no he creado nada en línea, es solo una configuración de host local y simplemente estoy conectado a Internet. (Aunque mi enrutador permite la entrada de 80 puertos).
Whois muestra que la dirección IP pertenece a SoftLayer Technologies.Nunca lo oí.
Servidor Express escuchando en 80, en modo de desarrollo
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
OBTENER /w00tw00t.at.blackhats.romanian.anti-sec :) [404] | 50.22.53.71 (Otro)
OBTENER /scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /admin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /admin/pma/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /db/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /dbadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /myadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /mysql/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /pma/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /web/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /websql/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Otro)
OBTENER /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (Otro)
OBTENER /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (Otro)
OBTENER /phpMyAdmin/ [404] | 50.22.53.71 (Otro)
GET /phpmyadmin/ [404] | 50.22.53.71 (Otro)
GET /mysqladmin/ [404] | 50.22.53.71 (Otros)
Respuesta1
¿Es este un intento de piratería?
Sí.
Y si es así, ¿cómo sabe inmediatamente el hacker (humano o robot) dónde está mi servidor y cuándo se conectó?
Has dado en el clavo,estás en línea. El solo hecho de estar en línea lo expone a que lo analicen en busca de vulnerabilidades. No te conocen ni que pusiste un servidor. Saben los rangos de direcciones que se utilizan para los servidores y están escaneando activamente esas direcciones en busca de vulnerabilidades.
Están escaneando en busca de vulnerabilidades de phpMyAdmin o simplemente para hacer un simple y antiguo descifrado de inicio de sesión para acceder a phpMyAdmin o MySQL.
Esta es una de las razones por las que ejecuta phpMyAdmin detrás de cPanel y otra razón por la que ejecuta MySQL como localhost y no lo expone al acceso web abierto.
Ambos se pueden utilizar para alterar sus bases de datos para cualquier cosa, desde insertar iframes hasta robar datos.
Sólo porque la dirección proviene de SoftLayer (SoftLayer es una de las operaciones de granja de servidores más grandes del planeta) no significa mucho, excepto que el ataque se transmite desde un servidor comprometido que alojan.
Todos los servidores de la red los ven. Si son demasiado persistentes, una forma de manejarlo es tomar una coincidencia común en las solicitudes y 403 en su .htaccess con mod_alias y una línea RedirectMatch.
Y en este momento, también deberías estar viendo muchos intentos de descifrado de wp-admin y fckeditor para la última vulnerabilidad de trackback de WordPress.