Access.log Мамкин хакер?

E
На сайте с 31.05.2015
Offline
66
1128

Здравствуйте. Есть сайт, в связке Cloudflare+Nginx+Apache.

В логе access.log появились вот такие записи:

198.199.119.73 - - [18/Jan/2024:17:44:11 +0400] "GET /login HTTP/1.1" 403 1001

82.151.200.94 - - [18/Jan/2024:15:23:23 +0400] "GET /restore.php HTTP/1.1" 403 1001

64.62.197.193 - - [18/Jan/2024:14:22:30 +0400] "GET /dns-query?name=dnsscan.shadowserver.org&type=A HTTP/1.1" 406 -

182.92.168.12 - - [18/Jan/2024:10:23:06 +0400] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 403 1001

182.92.168.12 - - [18/Jan/2024:10:23:00 +0400] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 940

54.211.249.181 - - [17/Jan/2024:16:05:47 +0400] "GET /aaaaaaaaaaaaaaaaaaaaaaaaaqr HTTP/1.1" 403 1001

143.42.63.237 - - [18/Jan/2024:00:52:47 +0400] "GET /admin.jhtml HTTP/1.1" 403 1038

143.42.63.237 - - [18/Jan/2024:00:52:47 +0400] "GET /menu.jsa HTTP/1.1" 403 1038

и так далее.

В Cloudflare стоит фильтр не пускать с http 1.x.

Да, сервер отдает ошибку 40x. Но тем не менее, как-то эта дрянь лезет. Еще очень много обращений к favicon.ico, но у меня нет такого файла на сервере.

Уважаемые серчане, что это и как с этим бороться?

K
На сайте с 14.05.2022
Offline
21
#1

Вот же нечего людям делать, собрались бороться с заходами на сайт. Я разместил сайт в интернете, а кто-то его посетил. Что делать?

W1
На сайте с 22.01.2021
Offline
306
#2
Evilruby :
Еще очень много обращений к favicon.ico, но у меня нет такого файла на сервере.

Ну так сделай такой файл.

Evilruby :
что это и как с этим бороться?

Это запросы к серверу. Зачем с ними бороться?

Мой форум - https://webinfo.guru –Там я всегда на связи
TB
На сайте с 16.01.2009
Offline
213
#3
Kupidonov #:

Вот же нечего людям делать, собрались бороться с заходами на сайт. Я разместил сайт в интернете, а кто-то его посетил. Что делать?

разместили по тем адресам на которые ломятся?

Snake800
На сайте с 02.02.2011
Offline
222
#4
Боты ищут уязвимости. Обычное дело.
BrickLayer
На сайте с 13.06.2020
Offline
104
#5
Evilruby - Мамкин сайтостроитель 😂
E
На сайте с 31.05.2015
Offline
66
#6
Извините. Я в первом сообщении не указал, что те файлы, к которым долбятся, их нет на сервере. И на сервере нет папки cgi-bin.
Анти ДДОС
На сайте с 14.03.2020
Offline
92
#7
Evilruby :
как с этим бороться

В целом, это стандартное фоновое сканирование. Если постоянно заглядывать в логи, то там таких ужастиков насмотритесь, что вообще перестанете понимать, почему ваш сайт до сих пор цел, не вломан, и проч.

Если мешает - смотреть какие там подсети, более внимательно смотреть по какому протоколу заход, какие юзерагенты. И проч. Добавлять это в правила на клауде. 

Допустим, 143.42.63.237 это AS63949 AS Name: Akamai (Linode) - хостинг. Переход с него например можно в список под проверку добавлять.

Защита сайта от ботов, настройка Cloudflare, поведенческие факторы, АнтиБот, DDoS - https://antiddos24.ru
W1
На сайте с 22.01.2021
Offline
306
#8
Evilruby #:
Извините. Я в первом сообщении не указал, что те файлы, к которым долбятся, их нет на сервере. И на сервере нет папки cgi-bin.

Ну те, кто делает эти запросы, этого не знают.

htexture
На сайте с 29.05.2017
Offline
211
#9

Стандартный "брутфорс" на предмет определения движка сайта, затем если определяется по дефолтным урлам, заносится в следующий этап взлома и т.д. Это не школьники делают, а программы, которые имеют списки для проверки.

Если совсем скучно и хотите бороться с ветряными мельницами и ложить приложения юным хакерам, можете им делать gzip бомбу

https://habr.com/ru/articles/332580/

Защищаем сайт с помощью ZIP-бомб
Защищаем сайт с помощью ZIP-бомб
  • 2017.07.06
  • habr.com
[Обновление] Теперь я в каком-то списке спецслужб, потому что написал статью про некий вид «бомбы», так? Если вы когда-нибудь хостили веб-сайт или администрировали сервер, то наверняка хорошо знаете о плохих людях, которые пытаются сделать разные плохие вещи с вашей собственностью. Когда я в возрасте 13 лет впервые захостил свою маленькую...
alaev
На сайте с 18.11.2010
Offline
775
#10
Да по всем сайтам ползает такая дичь.

Странно, но в логах нет поиска уязвимостей wp. Даже на сайте, свёрстанном на html, они должны быть)))
Создание и продвижение сайтов - https://alaev.net , аудиты сайтов, контекстная реклама

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий