信息安全 - 在我们的系统受到攻击并击中我们的登录路径后，我该怎么办？ - 吾爱随笔录

在我们的系统受到攻击并击中我们的登录路径后，我该怎么办？

信息安全 nginx 机器人

2021-08-22 10:22:59

今天早上我检查了我们的 nginx 日志。

46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:31 +0000]  "HEAD http://x.x.71.1:80/PMA2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/PMA2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:32 +0000]  "HEAD http://x.x.71.1:80/pma2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/pma2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2011/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:33 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2012/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2013/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2014/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2015/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2016/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2017/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmyadmin2018/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
46.x.x.90 - - [17/Jul/2017:05:51:34 +0000]  "HEAD http://x.x.71.1:80/phpmanager/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 Jorgee" "-"
139.x.x.135 - - [17/Jul/2017:06:33:53 +0000]  "GET / HTTP/1.1"302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36" "-"
91.x.x.3 - - [17/Jul/2017:06:49:13 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
38.x.x.164 - - [17/Jul/2017:06:54:55 +0000] "GET / HTTP/1.1" 301 185 "-" "Mozilla/5.0 zgrab/0.x" "-"
91.x.x.3 - - [17/Jul/2017:07:48:04 +0000] "GET / HTTP/1.0" 301 185 "-" "-" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET / HTTP/1.1" 302 219 "-" "Mozilla/5.0 (Windows NT 10.0; W0W64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36" "-"
139.x.x.204 - - [17/Jul/2017:08:19:50 +0000] "GET /login HTTP/1.1" 301 185 "-" "Go-http-client/1.1" "-"
139.x.x.204 - - [17/Jul/2017:08:19:51 +0000] "GET /login HTTP/1.1" 200 2222 "http://x.x.71.1/login" "Go-http-client/1.1" "-"

截屏

我怀疑是攻击，因为我们没有这些路径。

但是，最后一个说/login。现在，我很偏执，想知道我能做什么。

你有什么攻击后的动作吗？
如何查看肇事者是否成功登录？
乔吉是谁？

3个回答

由于您有日志，我建议您查找登录表单的用法。有没有尝试登录？

大多数情况下，这只是一次扫描，寻找有趣的站点并将其存储起来以备后用。这种行为非常普遍，几乎在每个带有面向 Internet 的 Web 服务的 http 日志中都很常见。

首先，您应该查看博客，看看他们是否真的尝试使用登录表单。如果他们这样做了，我想在该登录表单的 Web 应用程序中完成了一些日志记录？
在您发布的日志中，只有 GET 请求。寻找 POST 请求。
Jorgee 是用户代理领域的一部分，可以通过 Web 客户端轻松定制。

对我来说，这看起来像是一个开放的 HTTP 代理扫描。HEADorGET请求通常不跟在后面，http://而只跟在本地路径后面。

如果您的服务器充当开放式 HTTP 代理，则攻击者正试图隐藏在它后面，您应该关闭它。这将使您的服务器很快被列入黑名单。

确保您的服务器没有充当开放代理，然后忽略它。任何面向公众的服务器都会一直被扫描。

测试您的服务器是否充当开放代理。您可以使用http-open-proxy来自 nmap：
```
sudo nmap -sS -sV -p 8080 --script http-open-proxy.nse X.X.X.X
```
最简单的方法是测试telnet：
```
telnet X.X.X.X 80
```
等待几秒钟直到建立连接，然后输入您的 HTTP 请求：
```
GET /login HTTP/1.1
Host: 
```
回车两次，看看结果

现在很可能任何人都可以获得您的登录页面。这并不意味着他们在：因为他们需要POST使用正确的用户名/密码参数进行请求。留意该请求，或对登录墙后面资源的成功请求。
Jorgee 是一个漏洞扫描器。您可以在 CheckPoint 上看到通知。基本上，它会扫描整个互联网以查找漏洞。您的服务器也会被扫描，但除非您容易受到攻击，否则无需担心。

我看到有两个不同的用户，一个（139.xxx 网络）可能是运行漏洞扫描程序的脚本小子，另一个（46.xxx 网络）可能是合法用户。

那，您忘记在最后一行匿名化您的服务器地址（45.xxx 网络）。

底线：鉴于没有其他入侵迹象，没有理由恐慌。

其它你可能感兴趣的问题

上一篇我应该选择哪种验证方式：短信还是电话？下一篇为什么无法克隆 EMV 卡？