| [Discussion] Máy chủ web chạy Win hay Linux bị tấn công nhiều hơn? |
16/06/2009 10:54:08 (+0700) | #1 | 183659 |
myquartz
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
Hi!
Tớ có vài cái web site, tất cả đều chạy CentOS.
Tuy nhiên, tớ rất nhiều lần đọc được logwatch của server báo lại dường như có sự "probe" cái server của mình như sau:
Code:
A total of 17460 unidentified 'other' records logged
GET /administrator/backups/oldfiles HTTP/1.0 with response code(s) 404 1 responses
GET /help/70-351/Bai2/incoming HTTP/1.0 with response code(s) 404 1 responses
GET [b]/administrator/images/global.asa.old[/b] HTTP/1.0 with response code(s) 404 1 responses
GET /help/K01MB/70-620/tests HTTP/1.0 with response code(s) 404 1 responses
GET /administrator/mp3 HTTP/1.0 with response code(s) 404 1 responses
GET /help/70-291/global.bak HTTP/1.0 with response code(s) 404 1 responses
GET /help/K01MB/70-620/network HTTP/1.0 with response code(s) 404 1 responses
GET /mambots/search/tree HTTP/1.0 with response code(s) 404 1 responses
GET /media/new HTTP/1.0 with response code(s) 404 1 responses
GET /help/pass HTTP/1.0 with response code(s) 404 1 responses
GET /language/cgi-bin HTTP/1.0 with response code(s) 404 1 responses
GET /mambots/info HTTP/1.0 with response code(s) 404 1 responses
GET /forum/templates/subSilver/images/support HTTP/1.0 with response code(s) 404 2 responses
GET /help/70-351/Bai6/ccbill HTTP/1.0 with response code(s) 404 1 responses
GET [b]/help/70-270/Global.asax.orig[/b] HTTP/1.0 with response code(s) 404 1 responses
GET /img/save HTTP/1.0 with response code(s) 404 1 responses
GET [b]/language/Global.asax[/b] HTTP/1.0 with response code(s) 404 1 responses
GET /forum/templates/subSilver/images/lang_english/export HTTP/1.0 with response code(s) 404 1 responses
GET /forum/templates/subSilver/images/lang_english/cert HTTP/1.0 with response code(s) 404 1 responses
GET /forum/cache/CVS/Root HTTP/1.0 with response code(s) 404 1 responses
GET /administrator/index2.backup HTTP/1.0 with response code(s) 404 1 responses
GET /help/70-351/Bai5/purchase HTTP/1.0 with response code(s) 404 1 responses
GET /mambots/_logs HTTP/1.0 with response code(s) 404 1 responses
....
GET [b]/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0[/b] HTTP/1.1 with response code(s) 404 1 responses
GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.0 with response code(s) 404 1 responses
GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6403&STRMVER=4&CAPREQ=0 HTTP/1.0 with response code(s) 404 2 responses
POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1 with response code(s) 404 2 responses
GET /installation/ HTTP/1.1 with response code(s) 404 4 responses
GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.0 with response code(s) 404 1 responses
...
GET /cgi-bin/nph-test-cgi HTTP/1.1 with response code(s) 404 1 responses
GET [b]/wsasp.dll/WService=wsbroker1/webutil/ping.p[/b] HTTP/1.1 with response code(s) 404 1 responses
GET /cgi-bin/mapserv?map=nessus.map HTTP/1.1 with response code(s) 404 1 responses
GET /index.cfm?Mode=debug HTTP/1.1 with response code(s) 404 1 responses
GET [b]/CategoryView.aspx?category=nessus[/b] HTTP/1.1 with response code(s) 404 1 responses
GET /administrator/wa?DEBUG-SHOW-VERSION HTTP/1.1 with response code(s) 404 2 responses
GET /trace.axd HTTP/1.1 with response code(s) 404 1 responses
Như bạn thấy, các URI có rất nhiều là các URI dành cho các server Windows, còn các cái khác thì chung chung, ko rõ cho cái nào.
Tất nhiên nhìn qua các request này biết ngay có kẻ nào đó (hoặc 1 con bot nào đó), nó đang query cái server của mình, tìm sơ hở.. để chiến tiếp. Các admin ít kinh nghiệm hoặc bất cẩn hay để lại các file linh tinh hoặc ko bảo vệ kỹ, có thể ăn đòn, nhưng đó là bàn ngoài lề.
Cái quan trọng, tớ nhận xét các URI này, và các lần đã bị probe khác, tỉ lệ probe đối với 1 server Win nhiều hơn so với 1 server Linux (trừ đi những cái có thể cho cả 2).
Như thế tớ suy đoán được là có thể Win dính nhiều đòn hơn so với Linux, hoặc admin của Win thường bất cẩn nhiều hơn so với admin của Linux (vì các probe này phần nhiều suy ra từ các thực tế bất cẩn đã xảy ra, với nguyên lý Murphy: 1 ng bất cẩn như thế, thì sẽ có 1 ng khác làm sai giống họ).
Không phải tôi không gặp các probe cho Linux, điển hình là probe dạng:
Code:
/administrator/index.php?action=view&filename=../../../../../../../../../../../../../etc/passwd HTTP Response 200
Nhưng nó ít hơn đáng kể.
Không phải bênh Linux hơn Win, ko muốn có khẩu chiến so sánh, nhưng chỉ là 1 suy đoán về 1 thống kê. Không hiểu có đồng chí admin nào chịu khó đọc logwatch hoặc 1 công cụ tương tự, hoặc raw log của ISS/apache có nhận định tương tự hay không? |
|
|
 |
|
| [Discussion] Máy chủ web chạy Win hay Linux bị tấn công nhiều hơn? |
16/06/2009 11:07:57 (+0700) | #2 | 183660 |
![[Avatar]](/hvaonline/images/avatar/4dd20f1e87dfb889bc97230e2c87c6a5.png "[Avatar]")
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
Cơ bản là server đang có site nào đó đang được Scan Exploit tự động bằng một công cụ nào đó ví dụ như Acunetix WVS.
Còn việc tay đang thực hiện thăm dò khoái dò Windows hơn có lẽ là vì....sở thích của hắn. Hắn nghĩ số lượng Exploit trên Windows nhiều hơn nên tập trung chạy các mô-đun test mẫu thử Windows Vul để tiết kiệm thời gian, hoặc có thể do chính cái phần mềm hắn dùng nhiều mẫu thử đối với windows hơn ....linux cũng nên.
Trong quá trình quản lý server việc bị "Càn quét - hỏi thăm sức khỏe" kiểu ồ ạt này thường hay gặp rất nhiều ^^, bớt lo và đi uống cafe cho nhẹ đầu đi, rồi ngó coi hắn kiên nhẫn tới cỡ nào ^^ |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")