Acabei de criar um novo aplicativo usando o gerador yeoman angular-fullstack, editei-o um pouco ao meu gosto e executei-o com grunhido no meu host local e, imediatamente após iniciar, recebo uma enxurrada de solicitações para caminhos que ainda nem defini .
Isso é uma tentativa de hacking? E se sim, como o hacker (humano ou bot) sabe imediatamente onde está meu servidor e quando ele ficou online? Observe que não fiz nada online, é apenas uma configuração de host local e estou apenas conectado à internet. (Embora meu roteador permita entrada de 80 portas.)
Whois mostra que o endereço IP pertence a uma SoftLayer Technologies.Nunca ouvi falar disso.
Servidor expresso escutando em 80, em modo de desenvolvimento
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71 (Outro)
GET /scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /admin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /admin/pma/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /db/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /mysql/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /web/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Outro)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (Outro)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (Outro)
GET /phpMyAdmin/ [404] | 50.22.53.71 (Outro)
GET /phpmyadmin/ [404] | 50.22.53.71 (Outro)
GET /mysqladmin/ [404] | 50.22.53.71 (Outro)
Responder1
Isso é uma tentativa de hacking?
Sim.
E se sim, como o hacker (humano ou bot) sabe imediatamente onde está meu servidor e quando ele ficou online?
Você acertou em cheio,você está on-line. Apenas o ato de estar on-line expõe você à verificação de vulnerabilidades. Eles não conhecem você ou que você criou um servidor. Eles conhecem os intervalos de endereços usados pelos servidores e estão verificando ativamente esses endereços em busca de vulnerabilidades.
Eles estão procurando por vulnerabilidades do phpMyAdmin ou apenas para fazer um crack de login simples para acesso ao phpMyAdmin ou MySQL.
Este é um dos motivos pelos quais você executa o phpMyAdmin por trás do cPanel e outro motivo pelo qual você executa o MySQL como localhost e não o expõe ao acesso aberto à web.
Ambos podem ser usados para bagunçar seus bancos de dados para qualquer coisa, desde a inserção de iframes até o roubo total de dados.
Só porque o endereço vem da SoftLayer (a SoftLayer é uma das maiores operações de farm de servidores do planeta) não significa muito, exceto que o ataque está sendo retransmitido de um servidor comprometido que eles hospedam.
Cada servidor na rede vê isso. Se eles forem muito persistentes, uma maneira de lidar com isso é pegar uma correspondência comum nas solicitações e 403 no seu .htaccess com mod_alias e uma linha RedirectMatch.
E no momento, você também deve estar vendo muitas tentativas de crack do wp-admin e fckeditor para a vulnerabilidade de trackback mais recente do WordPress.