有人试图破解吗?在我的 Apache2 Ubuntu 18.04 服务器上接收可疑请求
Is someone trying to Hack? Receiving Suspicious Requests on my Apache2 Ubuntu 18.04 server
今天我检查了我的服务器日志,然后我注意到一些请求,我认为是有人试图进入我的服务器。
我正在托管基于 PHP Laravel (6) 的管理面板和 API。我还检查了文件的 public 路径和权限。
有人可以弄清楚我还应该做些什么来防止发生灾难性的事情吗?提前致谢。
以下是其他一些可疑请求:
- /哈德森
- /cgi-bin/mainfunction.cgi
- /?XDEBUG_SESSION_START=php风暴
- /solr/admin/info/system?wt=json
- /?-a=fetch&content=%3Cphp%3Edie%28%40md5%28HelloThinkCMF%29%29%3C%2Fphp%3E
- /api/jsonws/invoke
- /azenv.php?a=PSCMN&auth=159175997367&i=2650084793&p=80
- ?function=call_user_func_array&s=%2FIndex%2F%5Cthink%5Capp%2Finvokefunction&vars%5B0%5D=md5&vars%5B1%5D%5B0%5D=HelloThinkPHP
- /.well-known/security.txt
- /sitemap.xml
- /TP/index.php
- /TP/public/index.php
- /ip.ws.126.net:443
- /nmaplowercheck1591708572
- /evox/about
- /MAPI/API
- /evox/about
- /owa/auth/logon.aspx?url=https%3A%2F%2F1%2Fecp%2F
- /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
这可能只是一个在网络服务器上搜索某些 files/urls 的自动机器人。确保您的所有环境文件都不可访问(使用 htaccess)并且您拥有 Laravel.
的最新安全补丁
欢迎使用互联网。
我最后一次费心查看是在将设备插入 public IP 地址后花了大约 10 分钟的时间,该地址在第一次攻击前已超过 6 个月未使用。您可以做的是:
- 确保您的 OS 和任何第三方 libs/applications 都已安装补丁并保持最新状态
- 确保 uid 运行 您的 PHP 代码只能写入文档根目录之外的特定位置(最好是文件系统上的任何位置)
- 确保 uid 运行 您的 PHP 代码无法读取您的博客
- write secure code
- 定期备份
- 运行 基于主机的 IDS
这些是不断尝试闯入服务器或在您的网络应用程序上获得未经授权访问的众多机器人之一。您可以阅读有关它们的更多信息 here。所有服务器都会发生这种情况,无论您使用的是哪个服务提供商 AWS / DigitalOcean / Linode 或任何其他选项。
最常见的是,他们会尝试使用通用登录 URL 并使用默认或常见的 username/passwords 对其进行暴力破解。它们始终存在,但您可能直到开始检查日志文件才注意到。
当我们讨论这个话题时,还有一些 SSH 蠕虫不断尝试通过暴力破解 SSH 进入您的服务器。这就是为什么使用好的密码很重要,或者更好的是,禁用密码进入您的服务器并只允许 SSH。这将大大提高安全性,但仍不会阻止他们的努力。
您可以采取哪些措施来保护您的服务器:
- 如上所述,禁用密码登录,只允许 SSH
- 启用防火墙并相应地设置防火墙规则
- 确保您使用的软件包始终具有最新的安全补丁
- 使用 Fail2Ban 等工具,如果 SSH 尝试失败超过设定的时间,该工具将禁止 IP。您可以配置 Fail2Ban 做更多事情,请浏览文档
今天我检查了我的服务器日志,然后我注意到一些请求,我认为是有人试图进入我的服务器。 我正在托管基于 PHP Laravel (6) 的管理面板和 API。我还检查了文件的 public 路径和权限。 有人可以弄清楚我还应该做些什么来防止发生灾难性的事情吗?提前致谢。
以下是其他一些可疑请求:
- /哈德森
- /cgi-bin/mainfunction.cgi
- /?XDEBUG_SESSION_START=php风暴
- /solr/admin/info/system?wt=json
- /?-a=fetch&content=%3Cphp%3Edie%28%40md5%28HelloThinkCMF%29%29%3C%2Fphp%3E
- /api/jsonws/invoke
- /azenv.php?a=PSCMN&auth=159175997367&i=2650084793&p=80
- ?function=call_user_func_array&s=%2FIndex%2F%5Cthink%5Capp%2Finvokefunction&vars%5B0%5D=md5&vars%5B1%5D%5B0%5D=HelloThinkPHP
- /.well-known/security.txt
- /sitemap.xml
- /TP/index.php
- /TP/public/index.php
- /ip.ws.126.net:443
- /nmaplowercheck1591708572
- /evox/about
- /MAPI/API
- /evox/about
- /owa/auth/logon.aspx?url=https%3A%2F%2F1%2Fecp%2F
- /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
这可能只是一个在网络服务器上搜索某些 files/urls 的自动机器人。确保您的所有环境文件都不可访问(使用 htaccess)并且您拥有 Laravel.
的最新安全补丁欢迎使用互联网。
我最后一次费心查看是在将设备插入 public IP 地址后花了大约 10 分钟的时间,该地址在第一次攻击前已超过 6 个月未使用。您可以做的是:
- 确保您的 OS 和任何第三方 libs/applications 都已安装补丁并保持最新状态
- 确保 uid 运行 您的 PHP 代码只能写入文档根目录之外的特定位置(最好是文件系统上的任何位置)
- 确保 uid 运行 您的 PHP 代码无法读取您的博客
- write secure code
- 定期备份
- 运行 基于主机的 IDS
这些是不断尝试闯入服务器或在您的网络应用程序上获得未经授权访问的众多机器人之一。您可以阅读有关它们的更多信息 here。所有服务器都会发生这种情况,无论您使用的是哪个服务提供商 AWS / DigitalOcean / Linode 或任何其他选项。
最常见的是,他们会尝试使用通用登录 URL 并使用默认或常见的 username/passwords 对其进行暴力破解。它们始终存在,但您可能直到开始检查日志文件才注意到。
当我们讨论这个话题时,还有一些 SSH 蠕虫不断尝试通过暴力破解 SSH 进入您的服务器。这就是为什么使用好的密码很重要,或者更好的是,禁用密码进入您的服务器并只允许 SSH。这将大大提高安全性,但仍不会阻止他们的努力。
您可以采取哪些措施来保护您的服务器:
- 如上所述,禁用密码登录,只允许 SSH
- 启用防火墙并相应地设置防火墙规则
- 确保您使用的软件包始终具有最新的安全补丁
- 使用 Fail2Ban 等工具,如果 SSH 尝试失败超过设定的时间,该工具将禁止 IP。您可以配置 Fail2Ban 做更多事情,请浏览文档