Почему 50.22.53.71 поражает мой localhost node.js в попытке найти настройку php

Question

Я только что создал новое приложение, используя генератор угловых-полных стеков Yeoman, отредактировал его по своему вкусу и запустил его с ворчанием на моем локальном хосте, и сразу после запуска получаю поток запросов к путям, которые я даже не определил ,

Это попытка взлома? И если да, то как хакер (человек или бот) сразу узнает, где находится мой сервер и когда он подключился? Обратите внимание, что я ничего не сделал в Интернете, это просто настройка localhost, и я просто подключен к Интернету. (Хотя мой маршрутизатор разрешает вход 80 портов.)

Whois показывает, что IP-адрес принадлежит SoftLayer Technologies. Никогда об этом не слышал.

Экспресс сервер прослушивает 80, в режиме разработки
GET / [200] | 127.0.0.1 (Chrome 31.0.1650)
GET /w00tw00t.at.blackhats.romanian.anti-sec:) [404] | 50.22.53.71 (Другое)
GET /scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /admin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /admin/pma/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /admin/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /db/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /dbadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /myadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /mysql/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /mysqladmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /typo3/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpmyadmin1/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpmyadmin2/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /pma/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /web/phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /xampp/phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /web/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /websql/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpmyadmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin-2/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /php-my-admin/scripts/setup.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin-2.5.5/index.php [404] | 50.22.53.71 (Другое)
GET /phpMyAdmin-2.5.5-pl1/index.php [404] | 50.22.53.71 (Другое)
GET / phpMyAdmin / [404] | 50.22.53.71 (Другое)
GET / phpmyadmin / [404] | 50.22.53.71 (Другое)
GET / mysqladmin / [404] | 50.22.53.71 (Другое)

Answer 1

Это попытка взлома?

Да.

И если да, то как хакер (человек или бот) сразу узнает, где находится мой сервер и когда он подключился?

Ты ударился ногтем по голове, ты в сети. Сам процесс подключения к Интернету подвергает вас поиску уязвимостей. Они не знают вас или того, что вы поставили сервер. Они знают диапазоны адресов, используемые для серверов, и активно сканируют эти адреса на наличие уязвимостей.

---

Они сканируют на наличие уязвимостей phpMyAdmin или просто делают простой старый взлом входа в систему для доступа phpMyAdmin или MySQL.

Это одна из причин, по которой вы запускаете phpMyAdmin за cPanel, и другая причина, по которой вы запускаете MySQL как localhost и не открываете его для открытия веб-доступа.

И то, и другое может быть использовано для взлома ваших баз данных для чего угодно, от вставки фреймов до прямой кражи данных.

То, что адрес исходит от SoftLayer (SoftLayer - одна из крупнейших операций на ферме серверов на планете), мало что значит, за исключением того, что атака передается с взломанного сервера, на котором они размещаются.

Каждый сервер в сети видит это. Если они слишком постоянны, один из способов их обработки состоит в том, чтобы взять общее совпадение в запросах и 403 в вашем .htaccess с mod_alias и строкой RedirectMatch.

И в данный момент вы должны увидеть множество попыток взлома wp-admin и fckeditor для последней уязвимости в WordPress trackback.