Динамика попыток взлома домашнего web-сервера

0 313

Решил проверить информацию о том, что во время спецоперации России на Украине возросла кибернетическая активность в Интернете. Тем более, что сейчас каждый может лицезреть как в дневное время Конт периодически сообщает об ошибке вместо показа страницы. Я специально обратил внимание на время, так как ночью Конт работает без проблем.

Так вот, недавно я как раз занимался тем, что устанавливал на своем домашнем веб-сервере ловушки, которые собирают информацию о попытках его взлома. И вот теперь подвернулся случай проверить ситуацию в динамике. Ниже можно посмотреть, выглядит статистика попыток взлома веб-сервера в разрезе дат (собрана на 26 февраля 16:05). Если выкинуть девиации в начале февраля, которые связаны исключительно с процессом настройки механизма, то можно увидеть, что, начиная с 21 февраля, число попыток взлома выросло на 20-30% и продолжает держаться на этом уровне.

А ниже, до кучи, статистика по «любимым» в Интернете попыткам проверить веб-сервер на уязвимость. Как можно видеть, наиболее популярной является использование команды "GET /index.php?s=/index/ hink". Это THINKPHP REMOTE CODE EXECUTION BUG, известный уже в 2018 году, но до сих пор незакрытый многочисленными горе веб-мастерами. Следующими по популярности идут попытки открыть страницу без указания имени сервера или вообще с пустым URL. Ну а дальше следуют различные попытки взлома предполагаемо установленных приложений, имя которым "легион".

В будущем попробую собрать информацию о странах, которым принадлежат IP горе-взломщиков, и тогда можно будет показать статистику в разрезе стран. К сожалению, пока не знаю, каким образом проще всего это будет сделать автоматически.

Если у кого-то есть еще интересные предложения для вариантов анализа, которые давали бы осмысленные результаты, прошу описать их в комментариях. Тема, как я понимаю на ближайшие несколько десятилетий будет ой как актуальна. 

Однако, возвращаясь к ситуации на Конте, основные попытки взлома скорее всего идут с персональных компьютеров обычных пользователей. Все таки, как ни посмотри, а веб-сервера работают все больше круглосуточно. На Конте же явно виден суточный режим атак. Предполагаю, что эту работу делают многочисленные трояны, которые встроены в свободно скачиваемые с файлово-помоек оригинальные приложения, которые у нас повсеместно устанавливаются, часто с правами Администратора. Если про "гигиену"в отношении биологической заразы люди еще знают, то про "гигиену" цифровую абсолютно нет. 

Ну а у меня дорогому fail2ban-у есть где развернуться. Одних любителей проверить на прочность sshd за 3 дня набралось аж 77 штук. Все нормально. Работа идет. 


Заброшенный канал между Енисеем и Обью
  • sergey
  • Вчера 20:02
  • В топе

Подавляющее большинство российских судоходных каналов находится в Европейской части страны. Но когда-то и в Сибири функционировал рукотворный водный путь, который соединял Обь и Енисей....

Хотим как в Абхазии: россияне просят Путина предоставить им бесплатную электроэнергию

На днях Абхазия попросила правительство России дать бесплатную электроэнергию. Просто так, без всяких встречных обещаний. Попросило с уважением, потому что наше руководство тут же откли...