Решил проверить информацию о том, что во время спецоперации России на Украине возросла кибернетическая активность в Интернете. Тем более, что сейчас каждый может лицезреть как в дневное время Конт периодически сообщает об ошибке вместо показа страницы. Я специально обратил внимание на время, так как ночью Конт работает без проблем.
Так вот, недавно я как раз занимался тем, что устанавливал на своем домашнем веб-сервере ловушки, которые собирают информацию о попытках его взлома. И вот теперь подвернулся случай проверить ситуацию в динамике. Ниже можно посмотреть, выглядит статистика попыток взлома веб-сервера в разрезе дат (собрана на 26 февраля 16:05). Если выкинуть девиации в начале февраля, которые связаны исключительно с процессом настройки механизма, то можно увидеть, что, начиная с 21 февраля, число попыток взлома выросло на 20-30% и продолжает держаться на этом уровне.
А ниже, до кучи, статистика по «любимым» в Интернете попыткам проверить веб-сервер на уязвимость. Как можно видеть, наиболее популярной является использование команды "GET /index.php?s=/index/ hink". Это THINKPHP REMOTE CODE EXECUTION BUG, известный уже в 2018 году, но до сих пор незакрытый многочисленными горе веб-мастерами. Следующими по популярности идут попытки открыть страницу без указания имени сервера или вообще с пустым URL. Ну а дальше следуют различные попытки взлома предполагаемо установленных приложений, имя которым "легион".
В будущем попробую собрать информацию о странах, которым принадлежат IP горе-взломщиков, и тогда можно будет показать статистику в разрезе стран. К сожалению, пока не знаю, каким образом проще всего это будет сделать автоматически.
Если у кого-то есть еще интересные предложения для вариантов анализа, которые давали бы осмысленные результаты, прошу описать их в комментариях. Тема, как я понимаю на ближайшие несколько десятилетий будет ой как актуальна.
Однако, возвращаясь к ситуации на Конте, основные попытки взлома скорее всего идут с персональных компьютеров обычных пользователей. Все таки, как ни посмотри, а веб-сервера работают все больше круглосуточно. На Конте же явно виден суточный режим атак. Предполагаю, что эту работу делают многочисленные трояны, которые встроены в свободно скачиваемые с файлово-помоек оригинальные приложения, которые у нас повсеместно устанавливаются, часто с правами Администратора. Если про "гигиену"в отношении биологической заразы люди еще знают, то про "гигиену" цифровую абсолютно нет.
Ну а у меня дорогому fail2ban-у есть где развернуться. Одних любителей проверить на прочность sshd за 3 дня набралось аж 77 штук. Все нормально. Работа идет.
Оценили 2 человека
4 кармы