V logu serveru vidím opravdu velké množství požadavků na různé soubory, které na jiných webech mohou obsahovat citlivé údaje (hesla, enviromentální proměnné apod).
Tytpo požadavky jsou odesílány z různých IP adres, které jsou obvykle přítomny i v databázi abuseipdb.com. Jsou to automatizované požadavky prováděné různými scrapery skenujícími internet a hledající zranitelnosti.
Ukázka logu:
[2025-02-13 07:59:38] WARNING Nepřihlášený uživatel odeslal z IP adresy 150.136.69.140 požadavek na URL adresu /wp-admin/images/xmrlpc.php?p=, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 07:59:39] WARNING Nepřihlášený uživatel odeslal z IP adresy 150.136.69.140 požadavek na URL adresu /wp-admin/js/widgets/xmrlpc.php?p=, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 07:59:39] WARNING Nepřihlášený uživatel odeslal z IP adresy 150.136.69.140 požadavek na URL adresu /wp-admin/css/colors/xmrlpc.php?p=, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 07:59:39] WARNING Nepřihlášený uživatel odeslal z IP adresy 150.136.69.140 požadavek na URL adresu /wp-admin/includes/xmrlpc.php?p=, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 07:59:39] WARNING Nepřihlášený uživatel odeslal z IP adresy 150.136.69.140 požadavek na URL adresu /wp-admin/css/colors/blue/xmrlpc.php?p=, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 07:59:40] WARNING Nepřihlášený uživatel odeslal z IP adresy 150.136.69.140 požadavek na URL adresu /wp-admin/xmrlpc.php?p=, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:00] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /wordpress, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:00] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /wp, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:00] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /bc, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:00] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /bk, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:01] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /backup, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:01] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /old, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:01] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /new, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:01] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /main, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:06:02] WARNING Nepřihlášený uživatel odeslal z IP adresy 54.175.209.76 požadavek na URL adresu /home, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:14:49] WARNING Nepřihlášený uživatel odeslal z IP adresy 74.125.151.140 požadavek na URL adresu /.well-known/assetlinks.json, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:28:51] WARNING Nepřihlášený uživatel odeslal z IP adresy 145.239.10.137 požadavek na URL adresu /5.php, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:28:51] WARNING Nepřihlášený uživatel odeslal z IP adresy 145.239.10.137 požadavek na URL adresu /4.php, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 08:28:51] WARNING Nepřihlášený uživatel odeslal z IP adresy 145.239.10.137 požadavek na URL adresu /7.php, avšak daná cesta nebyla v konfiguraci nalezena
[2025-02-13 09:02:13] WARNING Nepřihlášený uživatel odeslal z IP adresy 66.249.81.224 požadavek na URL adresu /.well-known/traffic-advice, avšak daná cesta nebyla v konfiguraci nalezena
Ačkoli nás tyto útoky přímo neohrožují (adresářová struktura poznávaček je unikátní a dobře zabezpečená skrze limitace v .htaccess, nebylo by na škodu vytvořit na jedné z často dotazovaných (a neexistujících) adres honeypot.
To znamená, že by požadavky na tuto URL adresu byly přesměrovávány na specializovaný skript, který by zaznamenal URL adresu uživatele (robota) pokoušející se o načtení citlivých údajů a následně jí přidával do textového souboru – blacklistu IP adres. Tento soubor by byl načítán v .htaccess a trvale blokoval botům přístup botů na web, čímž by měl šetřit výkon.
V logu serveru vidím opravdu velké množství požadavků na různé soubory, které na jiných webech mohou obsahovat citlivé údaje (hesla, enviromentální proměnné apod).
Tytpo požadavky jsou odesílány z různých IP adres, které jsou obvykle přítomny i v databázi abuseipdb.com. Jsou to automatizované požadavky prováděné různými scrapery skenujícími internet a hledající zranitelnosti.
Ukázka logu:
Ačkoli nás tyto útoky přímo neohrožují (adresářová struktura poznávaček je unikátní a dobře zabezpečená skrze limitace v
.htaccess, nebylo by na škodu vytvořit na jedné z často dotazovaných (a neexistujících) adres honeypot.To znamená, že by požadavky na tuto URL adresu byly přesměrovávány na specializovaný skript, který by zaznamenal URL adresu uživatele (robota) pokoušející se o načtení citlivých údajů a následně jí přidával do textového souboru – blacklistu IP adres. Tento soubor by byl načítán v .htaccess a trvale blokoval botům přístup botů na web, čímž by měl šetřit výkon.