Máy chủ web chạy Win hay Linux bị tấn công nhiều hơn?

myquartz — GMT

Hi! Tớ có vài cái web site, tất cả đều chạy CentOS. Tuy nhiên, tớ rất nhiều lần đọc được logwatch của server báo lại dường như có sự "probe" cái server của mình như sau: Code:

A total of 17460 unidentified 'other' records logged
  GET /administrator/backups/oldfiles HTTP/1.0 with response code(s) 404 1 responses
  GET /help/70-351/Bai2/incoming HTTP/1.0 with response code(s) 404 1 responses
  GET [b]/administrator/images/global.asa.old[/b] HTTP/1.0 with response code(s) 404 1 responses
  GET /help/K01MB/70-620/tests HTTP/1.0 with response code(s) 404 1 responses
  GET /administrator/mp3 HTTP/1.0 with response code(s) 404 1 responses
  GET /help/70-291/global.bak HTTP/1.0 with response code(s) 404 1 responses
  GET /help/K01MB/70-620/network HTTP/1.0 with response code(s) 404 1 responses
  GET /mambots/search/tree HTTP/1.0 with response code(s) 404 1 responses
  GET /media/new HTTP/1.0 with response code(s) 404 1 responses
  GET /help/pass HTTP/1.0 with response code(s) 404 1 responses
  GET /language/cgi-bin HTTP/1.0 with response code(s) 404 1 responses
  GET /mambots/info HTTP/1.0 with response code(s) 404 1 responses
  GET /forum/templates/subSilver/images/support HTTP/1.0 with response code(s) 404 2 responses
  GET /help/70-351/Bai6/ccbill HTTP/1.0 with response code(s) 404 1 responses
  GET [b]/help/70-270/Global.asax.orig[/b] HTTP/1.0 with response code(s) 404 1 responses
  GET /img/save HTTP/1.0 with response code(s) 404 1 responses
 GET [b]/language/Global.asax[/b] HTTP/1.0 with response code(s) 404 1 responses
  GET /forum/templates/subSilver/images/lang_english/export HTTP/1.0 with response code(s) 404 1 responses
  GET /forum/templates/subSilver/images/lang_english/cert HTTP/1.0 with response code(s) 404 1 responses
  GET /forum/cache/CVS/Root HTTP/1.0 with response code(s) 404 1 responses
  GET /administrator/index2.backup HTTP/1.0 with response code(s) 404 1 responses
  GET /help/70-351/Bai5/purchase HTTP/1.0 with response code(s) 404 1 responses
  GET /mambots/_logs HTTP/1.0 with response code(s) 404 1 responses
....
  GET [b]/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0[/b] HTTP/1.1 with response code(s) 404 1 responses
  GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.0 with response code(s) 404 1 responses
  GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6403&STRMVER=4&CAPREQ=0 HTTP/1.0 with response code(s) 404 2 responses
  POST /_vti_bin/shtml.exe/_vti_rpc HTTP/1.1 with response code(s) 404 2 responses
  GET /installation/ HTTP/1.1 with response code(s) 404 4 responses
  GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0 HTTP/1.0 with response code(s) 404 1 responses
...
 GET /cgi-bin/nph-test-cgi HTTP/1.1 with response code(s) 404 1 responses
  GET [b]/wsasp.dll/WService=wsbroker1/webutil/ping.p[/b] HTTP/1.1 with response code(s) 404 1 responses
  GET /cgi-bin/mapserv?map=nessus.map HTTP/1.1 with response code(s) 404 1 responses
  GET /index.cfm?Mode=debug HTTP/1.1 with response code(s) 404 1 responses
  GET [b]/CategoryView.aspx?category=nessus[/b] HTTP/1.1 with response code(s) 404 1 responses
  GET /administrator/wa?DEBUG-SHOW-VERSION HTTP/1.1 with response code(s) 404 2 responses
  GET /trace.axd HTTP/1.1 with response code(s) 404 1 responses

Như bạn thấy, các URI có rất nhiều là các URI dành cho các server Windows, còn các cái khác thì chung chung, ko rõ cho cái nào. Tất nhiên nhìn qua các request này biết ngay có kẻ nào đó (hoặc 1 con bot nào đó), nó đang query cái server của mình, tìm sơ hở.. để chiến tiếp. Các admin ít kinh nghiệm hoặc bất cẩn hay để lại các file linh tinh hoặc ko bảo vệ kỹ, có thể ăn đòn, nhưng đó là bàn ngoài lề. Cái quan trọng, tớ nhận xét các URI này, và các lần đã bị probe khác, tỉ lệ probe đối với 1 server Win nhiều hơn so với 1 server Linux (trừ đi những cái có thể cho cả 2). Như thế tớ suy đoán được là có thể Win dính nhiều đòn hơn so với Linux, hoặc admin của Win thường bất cẩn nhiều hơn so với admin của Linux (vì các probe này phần nhiều suy ra từ các thực tế bất cẩn đã xảy ra, với nguyên lý Murphy: 1 ng bất cẩn như thế, thì sẽ có 1 ng khác làm sai giống họ). Không phải tôi không gặp các probe cho Linux, điển hình là probe dạng: Code:

/administrator/index.php?action=view&filename=../../../../../../../../../../../../../etc/passwd HTTP Response 200

Nhưng nó ít hơn đáng kể. Không phải bênh Linux hơn Win, ko muốn có khẩu chiến so sánh, nhưng chỉ là 1 suy đoán về 1 thống kê. Không hiểu có đồng chí admin nào chịu khó đọc logwatch hoặc 1 công cụ tương tự, hoặc raw log của ISS/apache có nhận định tương tự hay không?

Máy chủ web chạy Win hay Linux bị tấn công nhiều hơn?

xnohat — GMT

Cơ bản là server đang có site nào đó đang được Scan Exploit tự động bằng một công cụ nào đó ví dụ như Acunetix WVS. Còn việc tay đang thực hiện thăm dò khoái dò Windows hơn có lẽ là vì....sở thích của hắn. Hắn nghĩ số lượng Exploit trên Windows nhiều hơn nên tập trung chạy các mô-đun test mẫu thử Windows Vul để tiết kiệm thời gian, hoặc có thể do chính cái phần mềm hắn dùng nhiều mẫu thử đối với windows hơn ....linux cũng nên. Trong quá trình quản lý server việc bị "Càn quét - hỏi thăm sức khỏe" kiểu ồ ạt này thường hay gặp rất nhiều ^^, bớt lo và đi uống cafe cho nhẹ đầu đi, rồi ngó coi hắn kiên nhẫn tới cỡ nào ^^

Latest posts for the topic "Máy chủ web chạy Win hay Linux bị tấn công nhiều hơn?"

Máy chủ web chạy Win hay Linux bị tấn công nhiều hơn?

Máy chủ web chạy Win hay Linux bị tấn công nhiều hơn?