Warum trifft 50.22.53.71 meinen localhost node.js, um ein PHP-Setup zu finden?

0

Ich habe gerade eine neue App mit Angular-Fullstack-Yeoman-Generator erstellt, sie ein wenig nach meinen Wünschen bearbeitet und auf meinem Localhost mit Grunzen ausgeführt. Sofort nach dem Start erhalte ich diese Flut von Anfragen an Pfade, die ich noch nicht einmal definiert habe .

Ist das ein Hacking-Versuch? Und wenn ja, woher weiß der Hacker (Mensch oder Bot) sofort, wo sich mein Server befindet und wann er online ging? Beachten Sie, dass ich nichts online gemacht habe, es ist nur ein Localhost-Setup und ich bin nur mit dem Internet verbunden. (Obwohl mein Router 80 eingehende Ports zulässt.)

Whois zeigt, dass die IP-Adresse zu einer SoftLayer-Technologie gehört. Habe nie davon gehört.

Express-Server lauscht auf 80 im Entwicklungsmodus
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec :) [404] | 50.22.53.71 (Other)
GET /scripts/setup.php [404] | 50.22.53.71 (Other)
GET /admin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /admin/pma/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /db/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /mysql/scripts/setup.php [404] | 50,22,53,71 (Andere)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50,22,53,71 (Andere)
GET /web/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Other)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (Other)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (Other)
GET / phpMyAdmin / [404] | 50.22.53.71 (Other)
GET / phpmyadmin / [404] | 50,22,53,71 (Andere)
GET / mysqladmin / [404] | 50,22,53,71 (Andere)

security  php  localhost  node.js 
laggingreflex
quelle
Ich kenne die Antwort nicht, aber kommt Ihnen dieser Bereich oder diese Firma vielleicht bekannt vor? cqcounter.com/whois/ip/50.22.53.71.html
Filip Vondrášek
@ FilipB.Vondrášek hat noch nie davon gehört.
Laggingreflex
Softlayer Technologies ist nur der Internetdienstanbieter, die IP selbst scheint einer bestimmten ktools.net-Organisation zu gehören. Ich hoffe, dass auch jemand anderes dazu beiträgt, ich selbst würde gerne wissen, was los ist.
Filip Vondrášek
2
Das sieht aus wie eine typische Charge von Hack-Sonden. Ich sehe solche Dinge jeden Tag in http-Protokollen für Live-Websites. Sie scannen die IPs, finden den Port 80 offen und werfen dann nur ein paar 1000 Versuche bekannter Exploits auf die Site. Wenn einer von ihnen die richtige Antwort erhält, leitet der Scanner die Informationen an einen Menschen weiter, um sie weiter auszunutzen.
Tyson

Antworten:

3

Ist das ein Hacking-Versuch?

Ja.

Und wenn ja, woher weiß der Hacker (Mensch oder Bot) sofort, wo sich mein Server befindet und wann er online ging?

Sie haben den Nagel auf den Kopf getroffen, Sie sind online . Allein durch das Online-Sein werden Sie auf Schwachstellen untersucht. Sie kennen dich nicht oder wissen nicht, dass du einen Server eingerichtet hast. Sie kennen die Adressbereiche, die für Server verwendet werden, und scannen diese Adressen aktiv auf Schwachstellen.

Sie suchen nach phpMyAdmin-Schwachstellen oder machen einfach einen alten Login-Crack für phpMyAdmin- oder MySQL-Zugriffe.

Dies ist ein Grund, warum Sie phpMyAdmin hinter cPanel ausführen und ein weiterer Grund, warum Sie MySQL als localhost ausführen und es keinem offenen Webzugriff aussetzen.

Beides kann verwendet werden, um Ihre Datenbanken zu durchsuchen, vom Einfügen von Iframes bis zum regelrechten Diebstahl von Daten.

Nur weil die Adresse von SoftLayer stammt (SoftLayer ist eine der größten Serverfarmvorgänge auf dem Planeten), bedeutet dies nicht viel, außer dass der Angriff von einem kompromittierten Server weitergeleitet wird, den sie hosten.

Jeder Server da draußen im Netz sieht diese. Wenn sie zu hartnäckig sind, besteht eine Möglichkeit, dies zu handhaben, darin, eine gemeinsame Übereinstimmung in den Anforderungen und 403 in Ihrem .htaccess mit mod_alias und einer RedirectMatch-Zeile vorzunehmen.

Und im Moment dürften auch viele wp-admin- und fckeditor-Crack-Versuche für die neueste WordPress-Trackback-Sicherheitsanfälligkeit auftauchen.

Fiasco Labs
quelle
Ich fand diese Antwort interessant. Könnten Sie die Zeilen htaccess, mod_alias und Redirect Match genauer erläutern, welche Zeilen würden Sie einfügen und wie funktionieren sie?
Dizzy Bryan High
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.