Подозрительные запросы к серверу?

Question

[Михаил Серенков]

Здравствуйте! Помогите разобраться, с самого момента регистрации vps-сервера к серверу идут запросы на поиск уязвимостей, запросы идут с разных ip адресов, техподдержка хостера говорит что это не их проблемы, на данный момент сменить хостера нет возможности. Подскажите как с этим бороться?
Запросы вида:

• /catalog/?arrFilter_23_2322626082=Y%26amp%3Bset_filter%3DY%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%23
  
• /phpma/index.php
  
• /db/index.php
  
• /pmamy2/index.php
  
• /scripts/setup.php
  
• /sql/scripts/setup.php
  
• /webdb/
  
• /agSearch/SQlite/main.php
  
• /SQlite/main.php
  
• /bitrix/cache/js/s1/romza_shinmarket_1.4.0/kernel_main/kernel_main.js?1483711787412009
  
• /zabbix/jsrpc.php
  

Comments

[Andrey Tsvetkov]

можно возвращать по данным запросам zip-бомбы))) лично я постоянно сталкиваюсь с подобным и просто не обращаю на это внимание так как на php я не пишу и подобные запросы никуда не ведут

Answer 1

[vreitech]

выяснить, подвержен ли у вас софт тем уязвимостям, которые пытаются найти. если подвержен - пофиксить. если не подвержен - подождать одну неделю и вернуться в начало цикла.

Comments

[Михаил Серенков]

Не подвержен, на все такие запросы возвращается 404 ошибка, но запросы появляются постоянно и это создает дополнительную нагрузку, иногда за ночь может быть по 500 таких запросов.

[АртемЪ]

Михаил Серенков, Ну не отвечайте, если ресурсов жалко.

[vreitech]

Михаил Серенков, для фильтрации таких запросов в принципе можно использовать анти-DDoS сервис, но это как из пушки по воробьям. нагрузка в общем-то мизерная. рекомендую забить. хостера теребить тоже лишнее: резать входящие пакеты - не его задача.

Answer 2

[Dimonchik]

помог бы fail2ban, но похоже у тебя не vps

делать ничего - менять / скрывать скрипт

Comments

[Ezhyg]

с самого момента регистрации vps-сервера

Answer 3

[res2001]

Все что вы не выставите в интернет тут же будет опрошено/атаковано/просканено. И это нормально, всегда так было и будет.
На самом деле, то что вы привели в пример - это только высокоуровневая часть атак на ваш сервер - та что доходит до веб-сервера. А если включить логи фаервола, можно много любопытного узнать про интернет.
Коротко - ваш сервер регулярно сканируется на предмет открытых портов, по открытым портам целенаправленно делаются попытки атак. Наверняка кроме 80/443 порта у вас открыт еще 22 (ssh) - туда регулярно ломятся с попытками авторизации и т.д. и т.п. И все это требует какой-то обработки и реакции.

Answer 4

[Пума Тайланд]

это интернет, хакеры сканят все хосты на наличие уязвимостей, это не проблема вашего хостера, что он должен делать то ? Взять заблочить урлы а вдруг у вас этот софт стоит или еще что то ?

Answer 5

[CityCat4]

Забить.

Это какеры пытаются просканировать наличие известных дыр у Вас на сайте.