1. Inicio
  2. Pregunta y respuesta
  3. ¿Cómo reacciono cuando alguien intenta adivinar directiories de administrador en mi sitio web?

¿Cómo reacciono cuando alguien intenta adivinar directiories de administrador en mi sitio web?

2010-03-19 5 views
7

he estado recibiendo estos mensajes en error.log Apache durante bastante tiempo:¿Cómo reacciono cuando alguien intenta adivinar directiories de administrador en mi sitio web?

[client 217.197.152.228] File does not exist: /var/www/phpmyadmin 
[client 217.197.152.228] File does not exist: /var/www/pma 
[client 217.197.152.228] File does not exist: /var/www/admin 
[client 217.197.152.228] File does not exist: /var/www/dbadmin 
[client 217.197.152.228] File does not exist: /var/www/myadmin 
[client 217.197.152.228] File does not exist: /var/www/PHPMYADMIN 
[client 217.197.152.228] File does not exist: /var/www/phpMyAdmin

Y muchas más direcciones diferentes. Parece que alguien está tratando de adivinar dónde se encuentran mis aplicaciones administrativas. ¿Qué debería temer en esta situación, y qué conocimiento de las direcciones de mi administrador puede proporcionar al atacante, si todo está protegido por contraseña?

Fuente

2010-03-19 Silver Light

Respuesta

8

Si todo está bien cerrado, no temas nada. Estos son solo ataques automatizados que suceden a cada URL existente. Lo mismo me ocurre a mí, y ni siquiera ejecuto PHP en mi servidor.

Si no tiene los últimos parches (como por ejemplo, WordPress), entonces sí, este es un gran problema, pero uno que es relativamente fácil de solucionar.

Fuente

2010-03-19 12:47:53 swilliams

+0

Gracias, esto responde mi pregunta. Voy a ignorar estas advertencias y centrarme en la seguridad de las aplicaciones. –

3

Si encuentran una página de inicio de sesión pueden intentar hacer un brute force attack u otro enfoque de descifrado de contraseñas.

En estos casos, si hay una dirección IP que muestre constantemente dicho comportamiento, lo bloqueamos con denyhosts y ModSecurity.

Fuente

2010-03-19 12:46:57 DanSingerman

+0

Gracias. Trataré de tener mis contraseñas el mayor tiempo posible –

1

Parece que está buscando instalaciones de PHPMySQLAdmin, probablemente para probar y usar exploits conocidos en versiones antiguas.

Si no usa PHPMyAdmin, debería estar bien. Si lo haces, asegúrate de que esté actualizado a la última versión y, tal vez, muévelo a una URL no adivinable.

Fuente

2010-03-19 12:48:14

1

Si ha protegido todo, no es una gran cosa. http://217.197.152.228/phpmyadmin/ < - ahí es donde se ejecuta phpmyadmin. Parece que está protegido por pase, etc. ¡así que no te preocupes demasiado!

Hay algunos exploits que revelarán información, de hecho, su phpMyAdmin es vulnarable a algunos ataques:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0204

tal vez debería comprobar si hay documentos explotar en su versión phpMyAdmin.

Fuente

2010-03-19 12:48:24 Younes

+1

217.197.152.228 no es el host de mi servidor, sino un host de "atacker". Parece que está protegido :) –

6

si tiene administrador o carpetas restringidas podría configurar en .htaccess para restringir el acceso sólo a su IP o rango como esto

<Directory /var/www/AdminFolder/> 
    Options FollowSymLinks 
    Order Deny,Allow 
    Deny from all 
    Allow from 128.98.2.4 # your ip only 
</Directory>

Sólo será una buena solución si tiene IP estática, pero entonces usted estará completamente seguro de que será el único que ingrese a la carpeta administrativa

Fuente

2010-03-19 12:50:26 markcial

+0

Gracias por tu respuesta. Supongo que es la mejor manera de protegerme, pero tengo varias personas que se conectan a mi área de administración desde diferentes lugares. –

+0

También puede negarlo, intente agregar la IP de agresor al campo de denegación – markcial

+0

Las direcciones IP son diferentes todos los días. Como dijo swilliams, esos son probablemente robots. –

3

En primer lugar ... Nunca lo instale en una carpeta predeterminada.

En segundo lugar ... Si "Debes" utilizar un programa prefabricado, cambia el nombre de las carpetas de administración a algo menos sabroso, como, "tarea". Nadie buscará algo importante. (Debido a las técnicas de codificación pobre de los programas prefabricados, no operan de buena gana cuando reubica y cambia el nombre de las carpetas. Usted pensaría que la seguridad sería su objetivo principal, pero, tener una carpeta de administrador en www/home, y no tener la capacidad de seleccione la ubicación o el nombre, es su primer signo de mala programación.)

En tercer lugar ... Mueva todos sus INCLUYE por encima de www/home. (Mover arriba = retroceder un nivel, a la carpeta que contiene la carpeta www/home.) Una vez más, espere mojarse las manos con el código, ya que es muy probable que los programadores no sigan ese simple lugar común de seguridad con el código. Deberá indicarle a su código que busque en la nueva ruta de inclusión, que ahora está sobre la carpeta www/home.

En cuarto lugar ... Siempre que sea posible, configure un LOCK-OUT en su carpeta de administración. Use su FTP o C_Panel para desbloquear la carpeta, solo cuando sea necesario. No debe haber iniciado sesión diariamente o como un inicio de sesión común. Por lo que usted sabe, tiene un virus en su computadora y lo está viendo escribir su contraseña cada vez, o capturar sus cookies, o inyectar gusanos en su servidor una vez que haya ingresado. La mejor alternativa es encontrar programas con controles administrativos externos. Por ejemplo, no hay software en el servidor. El software permanece en su PC, y solo accede a su servidor para actualizar los cambios, brevemente.

Quinto ... Obtenga un plugin de lista negra para su servidor, o solicite uno. Su HOST debe bloquear esos tipos de escaneos obvios en el nivel del enrutador, enviando solicitudes repetidas a un agujero negro. Los hosts que no brindan el nivel más bajo de seguridad no deberían usarse. Eso es lo que usan los hackers, ya que no los bloquean cuando atacan. (Espere que sus VECINOS DE RED sean piratas informáticos potenciales en un servidor compartido. Buscarán dentro de sus archivos temporales compartidos las sesiones, los datos de cookies, el código de copia de seguridad, los datos de sql-RAM, etc. ... buscando algo importante. Por lo general, sus clientes correos electrónicos y contraseñas, información CC, información de PayPal, números de teléfono, direcciones y cualquier otra cosa que no esté clavada, para vender.)

Sexto ... Encuentra un host que no tiene programas prefabricados disponibles. ¿Por qué? Debido a que son todos de baja seguridad, versiones gratuitas de años anteriores, no compatibles, mal configurados, y sus vecinos los están usando también. Si no tienes vecinos, genial ... pero eso no te hace más seguro. Los instaladores han reducido la seguridad de su servidor, por lo que pueden obtener acceso a la instalación de los programas, incluso si nunca instala uno de ellos. Los hackers lo explotan también, instalando cosas que saben que pueden piratear, que existen en su c-panel o servidor-control, y luego ingresan a través de esos programas instalados explotados.

LOL, solo imprime libros ... ¡J/K, eso también es pirateable!

Ya sabes lo que no se puede hackear ... Pure HTML, en un servidor sin PHP, ASP, MySQL, FTP, correos electrónicos, y todas las otras cosas que a todos nos encantan. Ah, pero el HTML tiene que estar en un CD o en un disco duro con los cabezales de borrado sin conexión. Hehe ...

Fuente

2011-01-12 06:34:13 JasonD

Cuestiones relacionadas

 Cuestiones relacionadas