Я только что создал новое приложение с помощью генератора angular-fullstack yeoman, немного отредактировал его по своему вкусу и запустил с помощью grunt на локальном хосте. И сразу после запуска я получаю поток запросов к путям, которые я даже не определил.
Это попытка взлома? И если да, то как хакер (человек или бот) сразу узнает, где находится мой сервер и когда он вышел в сеть? Обратите внимание, что я ничего не делал в сети, это просто настройка локального хоста, и я просто подключен к Интернету. (Хотя мой маршрутизатор разрешает входящий порт 80.)
Whois показывает, что IP-адрес принадлежит SoftLayer Technologies.Никогда не слышал об этом.
Сервер Express прослушивает порт 80, в режиме разработки
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71 (Другое)
GET /scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /admin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /admin/pma/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /db/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (Другое) GET /myadmin/scripts/setup.php [404] | 50.22.53.71
(Другое)
GET /mysql/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Другое) GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71
(Другое)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое) GET
/web/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (Другое) GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET
/phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin/ [404] | 50.22.53.71 (Другое)
GET /phpmyadmin/ [404] | 50.22.53.71 (Другое)
GET /mysqladmin/ [404] | 50.22.53.71 (Другое)
решение1
Это попытка взлома?
Да.
И если да, то как хакер (человек или бот) сразу узнает, где находится мой сервер и когда он подключился к сети?
Вы попали в точку,ты в сети. Просто факт нахождения в сети подвергает вас сканированию на уязвимости. Они не знают вас или то, что вы размещаете сервер. Они знают диапазоны адресов, используемые для серверов, и активно сканируют эти адреса на уязвимости.
Они сканируют phpMyAdmin на предмет уязвимостей или просто пытаются взломать старый добрый логин для доступа к phpMyAdmin или MySQL.
Это одна из причин, по которой вы запускаете phpMyAdmin за cPanel, и еще одна причина, по которой вы запускаете MySQL как локальный хост и не предоставляете к нему открытый веб-доступ.
Оба могут быть использованы для внесения изменений в ваши базы данных, начиная от вставки фреймов и заканчивая прямой кражей данных.
Тот факт, что адрес принадлежит SoftLayer (SoftLayer — одна из крупнейших серверных ферм на планете), не означает ничего, за исключением того, что атака осуществляется со взломанного сервера, который они размещают.
Каждый сервер в сети видит их. Если они слишком настойчивы, один из способов справиться с ними — взять общее совпадение в запросах и 403 в вашем .htaccess с mod_alias и строкой RedirectMatch.
И в данный момент вы также должны увидеть много попыток взлома wp-admin и fckeditor для последней уязвимости трекбека WordPress.