Нездоровая активность запросов "GET /phpmyadmin/ HTTP/1.1"

12
Likvik
На сайте с 29.07.2010
Offline
105
1912

Добрый день.

Последние недели две-три наблюдаю нездоровую активность по логам.

Всяких сканеров на уязвимость каждый день много, это понятно.

Сначала думал что это обыкновенные сканеры. Зашел, просканировал, ушёл.

Не обращал внимания пока этих запросов не стало очень много, хоть IP повторяются, но их очень много, поэтому блокировка по IP результата не даст.

Я не понимаю зачем это делается и главное это специально именно на меня нагоняют или у кого то еще наблюдается?

Тем более я не вижу вреда от таких запросов, разве что забить канал?

Запросы:

"GET /phpmyadmin/ HTTP/1.1"

"GET /phpmyadmin//index.php HTTP/1.1"

Сейчас им отдается 403, раньше было открыто все.

Но даже когда все было открыто, то сканер после такого запроса начинал перебор логин/пароль.

А тут только запрос и все.

Вопрос: меня "заказали"? или у кого еще наблюдается подобное?

И чем это мне может навредить?

Защититься я так понимаю невозможно учитывая очень большое количество IP с разных зон.

Как вариант стать за Cloudflare и разрешить только IP целевой аудитории, но это можно сделать и средствами iptables.

Незнание порождает уверенность.
neoks
На сайте с 17.03.2010
Offline
140
#1

Likvik, Смените адрес phpmyadmin и работайте дальше, скорее всего это кривой сканер попался, кому надо тот будет создавать нагрузку непосредственно на сайт.

Likvik
На сайте с 29.07.2010
Offline
105
#2
neoks:
Likvik, Смените адрес phpmyadmin и работайте дальше, скорее всего это кривой сканер попался, кому надо тот будет создавать нагрузку непосредственно на сайт.

Вот тут и нюанс так сказать. Этот запрос именно на сайт, вернее сайты. Три из многих.

phpmyadmin там никогда и не было, phpmyadmin привязан к IP сервера, туда сканеры и долблятся периодически.

Повторюсь, тут еще одна странность, когда все было открыто, то сканер приступал к бруту, а здесь нет, просто эти два запроса и все, дальше следующий IP делает такие же запросы. Доступ я закрыл недавно, это ничего не поменяло, хотя впринципе и не должно было. Это скорее защита от брута.

---------- Добавлено 26.01.2019 в 14:39 ----------

Часть лога:

Как видно запрос именно к сайту, а там никогда не было phpmyadmin

2019/01/26 11:00:25 [error] 1059#1059: *69289 access forbidden by rule, client: 85.110.214.109, server: САЙТ, request: "GET /phpmyadmin/ HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin/"

2019/01/26 11:00:26 [error] 1053#1053: *69299 access forbidden by rule, client: 85.110.214.109, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:00:26 [error] 1060#1060: *69270 access forbidden by rule, client: 2607:fea8:d55f:f975:5933:a296:589:474b, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:01:07 [error] 1059#1059: *69719 access forbidden by rule, client: 176.43.206.119, server: САЙТ, request: "GET /phpmyadmin/ HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin/"
2019/01/26 11:01:08 [error] 1049#1049: *69730 access forbidden by rule, client: 176.43.206.119, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:08:27 [error] 1050#1050: *74735 access forbidden by rule, client: 2409:4064:584:4de:a850:36ff:7ea7:f065, server: САЙТ, request: "GET /phpmyadmin/ HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin/"
2019/01/26 11:08:32 [error] 1050#1050: *74756 access forbidden by rule, client: 2409:4064:584:4de:a850:36ff:7ea7:f065, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:10:57 [error] 1055#1055: *76197 access forbidden by rule, client: 88.238.13.85, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:12:29 [error] 1055#1055: *77114 access forbidden by rule, client: 103.55.104.18, server: САЙТ, request: "GET /phpmyadmin/ HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin/"
2019/01/26 11:12:30 [error] 1055#1055: *77125 access forbidden by rule, client: 103.55.104.18, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:23:39 [error] 1050#1050: *84806 access forbidden by rule, client: 41.225.197.171, server: САЙТ, request: "GET /phpmyadmin/ HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin/"
2019/01/26 11:23:41 [error] 1051#1051: *84832 access forbidden by rule, client: 41.225.197.171, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:30:00 [error] 1054#1054: *89112 access forbidden by rule, client: 78.160.44.204, server: САЙТ, request: "GET /phpmyadmin/ HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin/"
2019/01/26 11:30:04 [error] 1054#1054: *89141 access forbidden by rule, client: 78.160.44.204, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
2019/01/26 11:32:47 [error] 1053#1053: *91035 access forbidden by rule, client: 212.175.114.33, server: САЙТ, request: "GET /phpmyadmin/ HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin/"
2019/01/26 11:32:50 [error] 1050#1050: *91058 access forbidden by rule, client: 212.175.114.33, server: САЙТ, request: "GET /phpmyadmin//index.php HTTP/1.1", host: "САЙТ:443", referrer: "http://САЙТ/phpmyadmin//index.php"
SV
На сайте с 03.11.2008
Online
1393
#3
Likvik:
Вопрос: меня "заказали"? или у кого еще наблюдается подобное?

У некоторых хостеров можно так открывать ПМА. Т.е. домен/phpmyadmin, домен/myadmin и тп.

Возможно кулцхакеры просто идут широкой гребёнкой.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
Оптимизайка
На сайте с 11.03.2012
Offline
396
#4

Likvik, такое в интернете постоянно происходит, ищут уязвимости в компонентах, подбирают пароли. Это автоматические сканеры, боты.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Bot Inspector
На сайте с 04.06.2018
Offline
9
#5

вас, очевидно, заказали.

шантажируют, чтобы вы поставили phpmyadmin, иначе это никогда не прекратится!

на следующем шаге вам будут предлагать поставить известный им пароль.

и так, пока не доберутся до базы.

новейшая технология социального-реверс-брутфорсинга.

аудит трафика/детект склика и другие приключения Инспектора и Бота (/ru/forum/1007795)
Likvik
На сайте с 29.07.2010
Offline
105
#6
Оптимизайка:
Likvik, такое в интернете постоянно происходит, ищут уязвимости в компонентах, подбирают пароли. Это автоматические сканеры, боты.

Согласен. Постоянно наблюдаю сканеры разные.

Но что я заметил, сканер сканирует много чего, а не только один фактически запрос.

И IP сканеров не повторяются, по крайней мере за день, а тут что повторы и опять тот же запрос.

---------- Добавлено 26.01.2019 в 15:06 ----------

Bot Inspector, Сарказм. Спасибо, оценил.

---------- Добавлено 26.01.2019 в 16:09 ----------

Оптимизайка, BotGuard это отфильтрует?

neoks
На сайте с 17.03.2010
Offline
140
#7

Likvik, Вам не нужен антибот для этого, просто заблокируйте адрес /phpmyadmin/* в .htaccess или nginx.

Likvik
На сайте с 29.07.2010
Offline
105
#8

Тоже смотрел что антибот немного не для этого. У меня связка Nginx и PHP-FPM. Доступ заблокирован. Но боты ломятся всеровно.

Всетаки склоняюсь к тому что комуто понадобилось мне навредить забивая канал. Все указывает на то что это не сканеры. И мощность нарастает...

Оптимизайка
На сайте с 11.03.2012
Offline
396
#9
Likvik:
BotGuard это отфильтрует?

Да, это одна из его функций. Но если прям "мощность", то это уже DOS атака, а он для этого не предназначен.

neoks
На сайте с 17.03.2010
Offline
140
#10

Likvik, В nginx отдавайте код 444 для снижения нагрузки на канал.

А если уж забьют канал, то вам поможет только cloudflare.com или любой другой внешний Firewall.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий