PHP 설정을 찾으려고 50.22.53.71이 내 localhost node.js를 공격하는 이유는 무엇입니까?

tag-icon tag-icon security php localhost node.js
PHP 설정을 찾으려고 50.22.53.71이 내 localhost node.js를 공격하는 이유는 무엇입니까?

방금 Angular-fullstack yeoman Generator를 사용하여 새 앱을 만들고 원하는 대로 약간 편집한 다음 로컬 호스트에서 그런트를 사용하여 실행했습니다. 시작하자마자 정의하지도 않은 경로에 대한 요청이 홍수처럼 쏟아졌습니다. .

해킹 시도인가요? 그렇다면 해커(사람 또는 봇)는 어떻게 내 서버가 어디에 있는지, 언제 온라인 상태가 되었는지 즉시 알 수 있습니까? 저는 온라인으로 아무것도 만들지 않았으며 단지 로컬 호스트 설정일 뿐이며 단지 인터넷에 연결되어 있을 뿐입니다. (내 라우터는 80 포트 수신을 허용하지만)

Whois는 IP 주소가 SoftLayer Technologies에 속해 있음을 보여줍니다.들어본 적도 없습니다.

개발 모드에서 80을 수신하는 Express 서버
GET / [200] | 127.0.0.1(크롬 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71 (기타)
GET /scripts/setup.php [404] | 50.22.53.71 (기타)
GET /admin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /admin/pma/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /db/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /mysql/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /web/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (기타)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (기타)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (기타)
GET /phpMyAdmin/ [404] | 50.22.53.71 (기타)
GET /phpmyadmin/ [404] | 50.22.53.71 (기타)
GET /mysqladmin/ [404] | 50.22.53.71 (기타)

답변1

해킹 시도인가요?

예.

그렇다면 해커(사람 또는 봇)는 어떻게 내 서버가 어디에 있는지, 언제 온라인 상태가 되었는지 즉시 알 수 있습니까?

당신은 머리에 못을 박았습니다.당신은 온라인 상태입니다. 온라인에 접속하는 행위만으로도 취약점 검사를 받을 수 있습니다. 그들은 당신이나 당신이 서버를 설치했다는 사실을 모릅니다. 그들은 서버에 사용되는 주소 범위를 알고 있으며 해당 주소에서 취약점을 적극적으로 검색하고 있습니다.

그들은 phpMyAdmin 취약점을 검색하거나 phpMyAdmin 또는 MySQL 액세스에 대한 기존 로그인 크랙을 수행합니다.

이것이 cPanel 뒤에서 phpMyAdmin을 실행하는 이유 중 하나이며 MySQL을 로컬 호스트로 실행하고 공개 웹 액세스에 노출시키지 않는 또 다른 이유입니다.

둘 다 iframe 삽입부터 완전한 데이터 도용에 이르기까지 데이터베이스를 망가뜨리는 데 사용될 수 있습니다.

주소가 SoftLayer(SoftLayer는 지구상에서 가장 큰 서버 팜 운영 중 하나)에서 나온다는 사실은 공격이 호스팅하는 손상된 서버에서 전달된다는 점을 제외하면 큰 의미가 없습니다.

인터넷에 있는 모든 서버는 이를 봅니다. 너무 지속적이라면 이를 처리하는 한 가지 방법은 요청에서 공통 일치 항목을 선택하고 mod_alias 및 RedirectMatch 라인을 사용하여 .htaccess에서 403 일치 항목을 찾는 것입니다.

그리고 현재 최신 WordPress 트랙백 취약점에 대한 wp-admin 및 fckeditor 크랙 시도도 많이 볼 수 있습니다.

관련 정보