Jump to content

Попытки пентеста веб-сайта


lexxcode
 Share

Recommended Posts

Здравствуйте, господа и дамы.

 

Назрел у меня вопрос к более продвинутым ребятам в бэкенде.

Я держу свой маленький сайтик с портфолио на vps. Все собственно ручно установленно и настроенно, OS, nginx, php-fpm, права доступа и т.д. и т.п. Все работает как нужно мне, все норм.

 

Единственная проблема(?) с довольно стабильной регулярностью с разных IP пытаются нащупать дыру в системе через запросы к веб-серверу (да кому я нужен?). Пытаются найти phpmyadmin и ему подобные, тестируют на присутствие различных популярных cms, пытаются обращаться ко всяким cgi-скриптам(оспаде у меня их там отродясь не было), просто присылают разного рода запросы нечитабельного содержимого. В итоге в логах фиксируется 10-100 попыток что-то найти, сревер, естественно, отправляет 404 или 500 в ответ. Тест явно обламывается и больше не появляется, по крайней мере с этого IP, с других только потом.

 

Собственно вопрос, что с этим делать и нужно ли делать вообще? Есть ли смысл вообще с этим как-то бороться, хотя бы как со спамом? т.к. результата они все равно не получают, пока что, по крайней мере

 

Благодарю за любые мысли, идеи и погружения меня в бэкенд-нубики :D

Link to comment
Share on other sites

На сервере есть ещё другие сайты кроме твоего? Обычно это типовая попытка через уязвимость на одном сайте выйти на другие. Тут дело даже не в прямом злодействе, а потому как вредоносный скрипт такой. У меня пачками так взламывали сайты на WordPress.

Link to comment
Share on other sites

Друпал сайты в админке ведут урезанный учет запросов, которые попадают к движку и они не с 200 ответом
сканируют почти каждый день, сканируют годами. Ничего давно не делаю - это бессмысленно. Что-то беспокоит только когда кол-во запросов переваливает за 10-100к за сутки.

Были мысли на заре когда я все это увидел блокировать ip на ..цать минут при запросе чего-то стандартного вроде определения cms
/files/filebox/File/fileUpload.Html такого или
/manage/fckeditor/editor/filemanager/connectors/uploadtest.html
/control/editor/filemanager/connectors/uploadtest.html

и т.д то есть это скрипты которые ищут уязвимые компоненты

Так же периодически брутят пытаясь подобрать нужную комбинацию пароль/логин. Благо на друпал сайта у меня стоит лимит на кол-во попыток. как раз сегодня одного и поймало Banned IP address 212.252.119.171 due to security configuration.

 

 

единственное что меня напрягает это слишком заумные запросы - если я их вижу то система отдала 404 и записала в журнал, а если я их не увижу то может быть плохо

Link to comment
Share on other sites

На сервере есть ещё другие сайты кроме твоего? Обычно это типовая попытка через уязвимость на одном сайте выйти на другие. Тут дело даже не в прямом злодействе, а потому как вредоносный скрипт такой. У меня пачками так взламывали сайты на WordPress.

На сервере один сайт мой написан на фреймворке

 

Были мысли на заре когда я все это увидел блокировать ip на ..цать минут при запросе чего-то стандартного вроде определения cms

 

Ну вот я тоже думал над чем-то подобным, только на уровне nginx сделать. Поступил непотребный запрос - бан на 30 минут, рецедив - бан на сутки - неделю. Раз в неделю Сбрасывать счетчик на ступень ниже. Но каких-то готовых решений я не нашел, правда возможно недостаточно искал

Link to comment
Share on other sites

блокировать IP во многих случаях бесполезно. Большинство таких атак проводят не живые люди, а боты и вредоносное ПО.  Всяческие черви заражают не только клиентские машины, но и зачастую, когда с такой зараженной машины заходят на какой-либо сайт, червь пытается заразить и сервер на котором находится ресурс используя известные уязвимости движков и ПО сервера.


Обрати внимание в логах с какой переодичностью происходят запросы с одного IP. если много запросов за очень маленькое время, то можно ограничить количество запросов с одного IP в nginx. Это будет уже что-то.

Link to comment
Share on other sites

Обрати внимание в логах с какой переодичностью происходят запросы с одного IP. если много запросов за очень маленькое время, то можно ограничить количество запросов с одного IP в nginx. Это будет уже что-то.

Да обычно за короткий промежуток времени подряд приходит пачка запросов с одного ip, все обламываются и больше с этого ip не приходят :)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy