Buenas a todo el foro, tengo un pequeño detalle en un servidor local web con ip publica, me he dado cuenta que en muchas ocasiones se trata de acceder a el sitio con diferentes rutas como por ejemplo las siguiente:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/index.php?s=captcha
/TP/public/index.php
/TP/index.php
/thinkphp/html/public/index.php
/html/public/index.php
/public/index.php
/TP/html/public/index.php
/elrekt.php
/nice%20ports%2C/Tri%6Eity.txt%2ebak
/syslog.htm
/secure/ltx_conf.htm
/setup
/operator/basic.shtml
/view/index.shtml

y mucha otras, uso un router mikrotik, ya agrege reglas de bloqueo como telnet,ssh, scanneo de puertos, bloqueo de dns cache externo y webproxy externo pero eso no detiene los intentos de acceso, intente bloqueando todos los puertos excepto el 443 y 5222 con destino a mi ip pero eso provoca conflictos al querer navegar en Internet, quisiera saber si existe alguna otra regla para crear un white list de ip's con acceso o alguna otra forma para contrarrestar el acceso por fuerza bruta

@edgar1912

Hola, sabes la dirección de origen?, Si la sabes haz hecho algún escaneo o sacado información como la "ubicación" (lo digo por si acaso quieres llevar esto a un asunto más grande o para verificar que no sea un conocido).

Está atento por si tienes un virus que te está acechando la red.

Sobre la lista blanca (White list), la mayoría de router's, tienen esta opción es cuestión de que busques dependiendo del router y el modelo.

Si el router no te permite esta característica, usa un lenguaje que te permita bloquear el acceso (Como PHP, detectas la IP y si lo deseas no le muestras el contenido)

Espero haberte ayudado y espero que alguien más aporte tu inconveniente.

- DtxdF

Gracias por tu respuesta, ya he tratado de geolocalizar las direcciones ip y apuntan a diferentes partes del mundo no he intentado bloquear las ip con php solo con el Router, lo que mas me preocupa es la ejecución de este tipo de sentencias:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

lo busque en internet y aparentemente es un exploit llamado ThinkPHP de ejecución de comando remotos lo que traduzco a que no tratan de acceder desde un navegador sino desde alguna consola, terminal o shell

Tengo cierta duda:
Refiere que son “intentos de ataques”, o sea que le atacan el servidor, pero sin éxitos de accesos, etc.
Si es así, es completamente normal, y nada extraño.
Todos los servidores reciben ataques u intentos, al menos de 4 a 5 veces al día. Y es una cifra conservadora.
Tiene las providencias tomadas (según refiere) y está al tanto.
Tomar precaución con los accesos permitidos, y con los virus, y estar al tanto.
Apretadito… pero relajado. Que es normal. O tiene evidencias que hay una brecha de algun tipo?

hasta el momento no tengo ningún tipo de fallo conocido, si monitoreo constantemente las peticiones que se hacen al servido pero entonces es bastante normal estos tipos de ataques. agradezco sus respuestas.

Buenas a todo el foro, tengo un pequeño detalle en un servidor local web con ip publica, me he dado cuenta que en muchas ocasiones se trata de acceder a el sitio con diferentes rutas como por ejemplo las siguiente:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/index.php?s=captcha
/TP/public/index.php
/TP/index.php
/thinkphp/html/public/index.php
/html/public/index.php
/public/index.php
/TP/html/public/index.php
/elrekt.php
/nice%20ports%2C/Tri%6Eity.txt%2ebak
/syslog.htm
/secure/ltx_conf.htm
/setup
/operator/basic.shtml
/view/index.shtml

y mucha otras, uso un router mikrotik, ya agrege reglas de bloqueo como telnet,ssh, scanneo de puertos, bloqueo de dns cache externo y webproxy externo pero eso no detiene los intentos de acceso, intente bloqueando todos los puertos excepto el 443 y 5222 con destino a mi ip pero eso provoca conflictos al querer navegar en Internet, quisiera saber si existe alguna otra regla para crear un white list de ip's con acceso o alguna otra forma para contrarrestar el acceso por fuerza bruta

Pues, es un mikrotik, le puedes cambiar el firmware? Por lo que describes es un ataque a ciegas, onda "chance y le pego" es lo que hacen todos los scanners basicamente (ejemplo acunetix) le pega con todo lo uqe puede hasta acertar en algo!
Si te preocupa que accedan a tu server te diria cambiale el firmware, metele openwrt o alguno customizable, hardenealo, metele un ids, snort, iptables o portnocking para acceder, llaves ssh, y metele seguridad a nivel sistema operativo, si es windows o linux.
Si tenes alguna duda con algunas de las cosas que te enumeré, publicalo en el foro y lo vamos resolviendo, saludos!

@edgar1912

Como dice @AXCESS es normal, puedes también disminuirle la respuesta del servidor o crear un script para el servidor para bloquear el acceso a un usuario con identificadores determinados (nombre de usuario, dirección IP, ubicación, etc;lo importante es que el script detecte patrones y bloquee el acceso a esas direcciones nuevas). Digo esto para que no tengas que estar revisando tu servidor y ver quien te está atacando, sobre el identificador de usuario ya depende de tu servicio.

También deberías prestar atención a lo que dice @hielasangre, es bueno que tú servidor tenga seguridad en caso de tener fallas o no.

Sobre la vulnerabilidad que encontraste, te recomiendo que la trates de explotarla, ya que sólo la buscaste en tu buscador con solo tener un patrón.

por lo que comentas te estan scaneando el servidor , clouflare es muy bueno en este aspecto, pero es normal creo que es bastante dificil pararlo por si usas un ipban siempre estan o usaran una vpn o algo que oculte su ip

para redondear, por lo que entiendo el payload que mostras es un carrito chino de compras, pues si no lo tienes corriendo en tu servidor, no hay manera de que lo exploten.

https://www.exploit-db.com/exploits/46150

Por otro lado espero se me permita corregir a @AXCESS, creo yo que el que uno este convencido que no lo hayan vulnerado, no es garantía de que así sea. Uno puede estar convencido de que no le accedieron, más sin embargo, porque algo se nos paso por alto, pudieron llevar a cabo la intrusión.
La paranoia es buena jejeje
para ir terminando, a lo mejor esto sea algo de lo que buscas
https://es.wikipedia.org/wiki/Fail2ban