Каковы `/ t.php` GET-запросы, поступающие на рабочий сервер?

Question

Я недавно опубликовал страницу приветствия на моем новом сайте, размещенном на DigitalOcean. Я использую Node JS и nginx.

Эти запросы нацелены на /t.php, POST /wls-wsat/CoordinatorPortType, POST /user/register?.

Это попытка взлома?

Вот логи nginx -

80.123.42.103 - - [24/Apr/2018:16:38:54 +0000] "GET /t.php?c=%5B%7B%22k%22%3A%22%5Cb%22%2C%22t%22%3A9874541096%7D%5D HTTP/1.1" 404 144 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"
80.123.42.103 - - [24/Apr/2018:16:38:54 +0000] "GET /t.php?c=%5B%7B%22k%22%3A%22%5Cb%22%2C%22t%22%3A9874541264%7D%5D HTTP/1.1" 404 144 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"

80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1" 404 153 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "GET / HTTP/1.1" 200 3508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
80.13.73.224 - - [24/Apr/2018:08:47:10 +0000] "GET / HTTP/1.1" 200 3508 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"
80.13.73.224 - - [24/Apr/2018:08:47:11 +0000] "GET /rss.php?mode=recent HTTP/1.1" 404 146 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

Answer 1

Вы абсолютно правы!

Кто-то сканировал возможные уязвимости в вашей системе.Например, строка /user/register связана с уязвимостью CVE-2018-7600, которая позволяет удаленно выполнять произвольный код, если вы используете определенные версии Drupal.Строка /wls-wsat/CoordinatorPortType, вероятно, связана с уязвимостью CVE-2017-10271, которая допускает захват определенных серверов Oracle WebLogic.Что касается /t.php, я, к сожалению, не могу найти какую-либо информацию из-за индексации мусора в современных поисковых системах, но мы можем разумно предположить, что она связана с еще одной уязвимостью, которая обеспечивает неограниченный доступ с правами root.

ЭтоЭто может быть целевое сканирование, но это также может быть сценарий, который разыгрывает широкую сеть и надеется, что что-то застрянет.Я бы предположил, что это последнее, так как они, похоже, применяют дробовик для получения корневого доступа к различным типам систем.

Вероятно, вам не о чем беспокоиться, но просто, чтобы быть в безопасности, я бы посоветовалвы должны проверить, что ваше программное обеспечение соответствует всем обновлениям безопасности и убедиться, что ни один из этих запросов не может повлиять на какую-либо часть вашей системы (например, убедитесь, что, если вы используете Drupal, это, по крайней мере, исправленная версия).