Как только зарегистровал домен и прикрутил VPS пошли интересные запросы

r0r
На сайте с 02.11.2009
Offline
71
r0r
1597

Из логов nginx


121.157.46.60 - - [11/Apr/2019:17:44:32 +0200] "GET /v/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:32 +0200] "GET /phpmyadm1n/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:33 +0200] "GET /phpMyAdm1n/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:33 +0200] "GET /shaAdmin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:33 +0200] "GET /phpMyadmi/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:33 +0200] "GET /phpMyAdmion/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:34 +0200] "GET /s/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:34 +0200] "GET /MyAdmin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:34 +0200] "GET /phpMyAdmin1/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:35 +0200] "GET /phpMyAdmin123/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:35 +0200] "GET /pwd/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:35 +0200] "GET /phpMyAdmina/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:35 +0200] "GET /phpMydmin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:36 +0200] "GET /phpMyAdmins/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:36 +0200] "GET /phpMyAdmin._/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:36 +0200] "GET /phpmyadmin2222/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:36 +0200] "GET /php2MyAdmin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:37 +0200] "GET /phpiMyAdmin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:37 +0200] "GET /phpNyAdmin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:37 +0200] "GET /program/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:37 +0200] "GET /shopdb/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:38 +0200] "GET /phppma/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:38 +0200] "GET /phpmy/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:38 +0200] "GET /mysql/admin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:39 +0200] "GET /mysql/dbadmin/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
121.157.46.60 - - [11/Apr/2019:17:44:39 +0200] "GET /mysql/sqlmanager/index.php HTTP/1.1" 404 580 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.3
6"

158.140.130.72 - - [12/Apr/2019:09:51:46 +0200] "GET /lala-dpr.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:46 +0200] "GET /wpc.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:46 +0200] "GET /wpo.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:47 +0200] "GET /t6nv.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:47 +0200] "GET /muhstik.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:49 +0200] "GET /text.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:50 +0200] "GET /wp-config.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:50 +0200] "GET /muhstik.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:50 +0200] "GET /muhstik2.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:50 +0200] "GET /muhstiks.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:51 +0200] "GET /muhstik-dpr.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:51 +0200] "GET /lol.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:53 +0200] "GET /uploader.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:54 +0200] "GET /cmd.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:54 +0200] "GET /cmv.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:54 +0200] "GET /cmdd.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:54 +0200] "GET /knal.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:55 +0200] "GET /cmd.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:55 +0200] "GET /shell.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"
158.140.130.72 - - [12/Apr/2019:09:51:57 +0200] "GET /appserv.php HTTP/1.1" 200 22 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Win64; x64; Trident/4.0)"

Как я догадываюсь это кто-то пытается выяснить есть ли ПО с уязвимости, так как у меня вообще только одна статическая страница без всяких php и mysql на сервере. Как на такое реагировать? Есть ли существующие средства или практики чтобы банить хотя бы временно таких товарищей?

M5
На сайте с 12.08.2009
Offline
217
M25
#1

Таких запросов будет много и каждый день.

Сканируется автоматически роботами по всем IPv4

► Рейтинг серверов — ТОП10 ◄
Оптимизайка
На сайте с 11.03.2012
Offline
396
#2
r0r:
Есть ли существующие средства или практики чтобы банить хотя бы временно таких товарищей?

https://en.wikipedia.org/wiki/Web_application_firewall

но если у вас нет .php то и беспокоиться нечего. Главное бэкапы всякие не кладите даже временно в корень сайта, а то пытаются скачать и украсть и .zip, и .tar.gz и .sql и т.п.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
r0r
На сайте с 02.11.2009
Offline
71
r0r
#3

пока решил проблему, обрубанием на стороне nginx


location ~ \.php$ {
deny all;
}
forexjoker
На сайте с 13.12.2009
Offline
114
#4

Поставьте просто серверное ПО для защиты от ботов. Сразу избавитесь от 90% таких запросов.

Защита сайтов от вирусов: strust.ru (https://strust.ru)
B
На сайте с 21.02.2016
Offline
26
#5

fail2ban можно попробовать

Black Invest
На сайте с 04.04.2019
Offline
25
#6

предположительно на домене уже был сайт. возможно в далеком прошлом. кстати, это может повлиять на ранжирование в будущем.

так как действительно свежие домены проверять, парсить, выяснять уязвимости смысла нет.

- Личный блог (http://blackinvest.group). О дорвеях, о сайтах, о финансах. - VPS-Хостинг за 5.6$ в месяц (http://www.jdoqocy.com/click-9031146-12740668). 8 ГБ Памяти, 200 ГБ SSD, ДЦ в Германии, Бесплатная поддержка.
Glueon
На сайте с 26.07.2013
Offline
172
#7
Black Invest:
предположительно на домене уже был сайт. возможно в далеком прошлом.

Выше уже написали, что идет массовый скан IPv4. Наличие/отсутствие сайта в прошлом не всегда причина. Причем если раньше скан был только от крутых хацкеров, то сейчас этим страдает еще куча сервисов типа Shodan.

Мой вас совет: не ленитесь и шлите абузы провайдерам айпи-адресов. Даже ресерчеры в современных реалиях испытывают трудности, чтобы найти хостинг под такие проекты, потому что сканеры задолбали уже просто всех и абуз-отделы с пониманием относятся к таким жалобам.

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
r0r
На сайте с 02.11.2009
Offline
71
r0r
#8

Хостер заблочил сервер, кто-то таки нашел уязвимость, 5 терабайт трафика за сутки сожрали

сетапил только nginx, python 3, django 2.2, ftp, lfm на Ubuntu 18.04

каким что образом создали сервисы и залили бинарники в /bin которые вызывались с сервисов :(

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий