02-6645511
מה קורה לשרת ברגע שמחברים אותו לאינטרנט?
ניתוח לוג אמיתי של ניסיונות סריקה ותקיפה בשרת Apache
כאשר מעלים שרת חדש לענן לדוגמה AWS EC2 ופותחים אותו לאינטרנט, רבים מניחים שרק משתמשים אמיתיים יגיעו לאתר. בפועל, בתוך דקות ספורות מתחילות להגיע סריקות אוטומטיות של האינטרנט שמטרתן למצוא חולשות אבטחה.
בפוסט זה ננתח קטע אמיתי מתוך לוג של שרת Apache ונראה כיצד ניתן להבין מה מתרחש מאחורי הקלעים.
צפייה בלוגים בזמן אמת
בשרת Linux ניתן לצפות בלוגים של הגישה לאתר באמצעות הפקודה:
sudo tail -f /var/log/apache2/access.log
הפקודה מציגה בזמן אמת כל בקשה שמגיעה לשרת.
דוגמה אמיתית מלוג השרת
להלן קטע מתוך הלוג:
89.248.168.239 - - [05/Mar/2026:13:08:19 +0000] "POST /wp-content/plugins/jekyll-exporter/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:19 +0000] "POST /wp-content/plugins/cloudflare/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:20 +0000] "POST /wp-content/plugins/flavor/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:20 +0000] "POST /wp-content/plugins/developer/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:20 +0000] "POST /wp-content/plugins/mm-plugin/inc/vendors/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:21 +0000] "POST /wp-content/plugins/contact-form-7-to-database-extension/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:21 +0000] "POST /wp-content/plugins/shortcode-tumblr-gallery/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:21 +0000] "POST /wp-content/plugins/user-export-with-their-meta-data/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:22 +0000] "POST /wp-content/plugins/jannes-mannes-social-media-auto-publisher/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
89.248.168.239 - - [05/Mar/2026:13:08:22 +0000] "POST /wp-content/plugins/rollbar/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"
135.237.126.250 - - [05/Mar/2026:14:08:06 +0000] "GET /developmentserver/metadatauploader HTTP/1.1" 404 434 "-" "Mozilla/5.0 zgrab/0.x"
87.121.84.57 - - [05/Mar/2026:14:30:14 +0000] "GET / HTTP/1.1" 200 1789 "-" "-"
13.217.223.172 - - [05/Mar/2026:14:30:44 +0000] "GET / HTTP/1.1" 200 913 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36"
ניתוח הלוג
סריקה אוטומטית של WordPress
רוב הבקשות מגיעות מהכתובת:
89.248.168.239
הבקשות מנסות להגיע לקובץ:
eval-stdin.php
זהו קובץ הקשור לפרצת אבטחה מוכרת ב-PHPUnit המאפשרת הרצת קוד מרחוק (Remote Code Execution).
התוקף מנסה מספר נתיבים של Plugins בWordPress
- jekyll-exporter
- cloudflare
- flavor
- developer
- contact-form plugins
- rollbar
- ועוד
כלומר מדובר ב־סריקה אוטומטית שמחפשת התקנה פגיעה של WordPress
האם ההתקפה הצליחה?
בכל הבקשות מופיע קוד התגובה:
404
כלומר:
File Not Found
הקובץ לא קיים בשרת ולכן ניסיון התקיפה נכשל.
סריקה באמצעות כלי מחקר
שורה נוספת בלוג:
135.237.126.250 "GET /developmentserver/metadatauploader"
User-Agent: zgrab
הכלי zgrab הוא סורק אינטרנט ידוע המשמש למיפוי שירותים ברשת ולמחקרי אבטחה.
בקשות לגיטימיות
בסוף הלוג מופיעות שתי בקשות רגילות לדף הראשי:
87.121.84.57 "GET /" 200
13.217.223.172 "GET /" 200
קוד:
200
משמעותו שהדף נטען בהצלחה – כלומר מדובר בגולשים רגילים או שירותים שמבקרים באתר.
מסקנה
הלוג מציג תמונה טיפוסית של שרת אינטרנט המחובר לאינטרנט:
- סריקות אוטומטיות של חולשות
- ניסיונות לנצל פרצות ידועות
- כלים לסריקת אינטרנט
- לצד גישה רגילה של משתמשים
ברגע ששרת נפתח לאינטרנט, הוא הופך מיד למטרה לסריקות אוטומטיות.
למה חשוב לנתח לוגים
ניתוח לוגים מאפשר:
- לזהות ניסיונות פריצה
- להבין איזה חולשות מחפשים התוקפים
- לאתר כתובות IP חשודות
- להגיב במהירות לניסיונות תקיפה
המלצות בסיסיות להגנה
כדי להגן על שרת אינטרנט מומלץ להשתמש ב:
- Firewall
- Web Application Firewall (WAF)
- עדכון קבוע של תוכנות
- ניטור קבוע של לוגים
- שרתים באינטרנט נסרקים כל הזמן.היכולת לקרוא ולהבין לוגים היא אחד הכלים החשובים ביותר של מנהל מערכת ואיש אבטחת מידע.