為什麼 50.22.53.71 會點擊我的本地主機 node.js 來嘗試尋找 php 設定

tag-icon tag-icon security php localhost node.js
為什麼 50.22.53.71 會點擊我的本地主機 node.js 來嘗試尋找 php 設定

我剛剛使用Angular-fullstack yeoman 生成器創建了一個新應用程序,根據自己的喜好對其進行了一些編輯,並在本地主機上使用grunt 運行它,啟動後立即收到了大量對我什至沒有定義的路徑的請求。

這是一次駭客攻擊嗎?如果是這樣,駭客(人類或機器人)如何立即知道我的伺服器在哪裡以及它何時上線?請注意,我沒有在網上做任何事情,這只是一個本地主機設置,我只是連接到互聯網。 (雖然我的路由器確實允許80埠傳入。)

Whois 顯示該 IP 位址屬於 SoftLayer Technologies。從來沒聽過。

Express 伺服器在 80 上偵聽,處於開發模式
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71(其他)
GET /scripts/setup.php [404] | 50.22.53.71(其他)
取得/admin/scripts/setup.php [404] | 50.22.53.71(其他)
取得/admin/pma/scripts/setup.php [404] | 50.22.53.71(其他)
取得/admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71(其他)
取得/db/scripts/setup.php [404] | 50.22.53.71(其他)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /mysql/scripts/setup.php [404] | 50.22.53.71(其他)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71(其他)
取得/pma/scripts/setup.php [404] | 50.22.53.71(其他)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71(其他)
取得/web/scripts/setup.php [404] | 50.22.53.71(其他)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71(其他)
取得/websql/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71(其他)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71(其他)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71(其他)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71(其他)
GET /phpMyAdmin/ [404] | 50.22.53.71(其他)
GET /phpmyadmin/ [404] | 50.22.53.71(其他)
GET /mysqladmin/ [404] | 50.22.53.71(其他)

答案1

這是一次駭客攻擊嗎?

是的。

如果是這樣,駭客(人類或機器人)如何立即知道我的伺服器在哪裡以及它何時上線?

你已經擊中要害了你在線。光是上網的行為就會讓您面臨漏洞掃描。他們不認識你,也不知道你搭建了伺服器。他們確實知道伺服器使用的位址範圍,並正在積極掃描這些位址是否有漏洞。

他們正在掃描 phpMyAdmin 漏洞,或者只是為了進行 phpMyAdmin 或 MySQL 存取的普通舊登入破解。

這是您在 cPanel 後面執行 phpMyAdmin 的原因之一,也是您作為本機主機執行 MySQL 並且不將其公開給開放 Web 存取的另一個原因。

兩者都可以用來破壞資料庫,從插入 iframe 到徹底竊取資料。

僅僅因為該位址來自 SoftLayer(SoftLayer 是地球上最大的伺服器場運營之一)並沒有多大意義,除非攻擊是從他們託管的受感染伺服器上轉發的。

網路上的每個伺服器都可以看到這些。如果它們太持久,處理它的一種方法是在請求中採用公共匹配,並使用 mod_alias 和 RedirectMatch 行在 .htaccess 中對其進行 403 處理。

目前,您應該也會看到大量針對最新 WordPress 引用漏洞的 wp-admin 和 fckeditor 破解嘗試。

相關內容