Din gissning är sannolikt korrekt.

De stora servervärdarna har kontinuerliga IP-intervall från vilka de tilldelar IP-adresser till sina kunder. Hosters med låg budget används ofta av amatörer som inte vet vad de gör, så det är troligt att de använder lätt att gissa lösenord eller ställer in osäkra webbapplikationer. Detta gör att dessa IP-intervall är värdefulla mål för svarta hattar.

När du märker sådana attacker från värdnätverket, bör du rapportera dem till hostern, eftersom detta troligtvis är ett brott mot användarvillkoren ... eller en server från andra kunder där svarta hattarna redan lyckades.

Alla servrar som använder IPv4-adresser får en viss nivå av bakgrundsbrus i form av automatiserad skanning och bruteforce-försök. Detta beror i grund och botten på att det är enkelt att skanna hela adressutrymmet - det tar mindre än en timme och kan resultera i system som inte har lagts helt eller har konfigurerats än.

Som ett resultat skulle jag förvänta mig att alla system ser mycket av denna typ av trafik. Det är därför det är viktigt att reda ut din säkerhet innan du öppnar din server till internet. Håll din brandvägg påslagen och blockera inkommande trafik medan du ställer in den. Begränsa åtkomsten till kända IP-adresser för testning. När du är säker på att den är säker kan du öppna brandväggen till resten av internet för att ansluta.

Om du har en server med en omvänd DNS-sökuppsättning, när någon har IP-adressen, kan de titta för att se vilket domännamn ditt system tycker att det tillhör, därav URL-försök också.

I grund och botten, om du har säkerställt att ditt system är säkert, oroa dig inte - se till att du har anständigt lösenord för SSH (eller, ännu bättre, nyckelbaserad inloggning), och att alla andra tjänster är låsta ordentligt. Om du inte har gjort det, eller om du tror att de kom in, behandla det som en komprometterad server - sortera din brandvägg (förmodligen med din webbhotell) och börja om.

Din IP är som ett telefonnummer. Det finns inget behov av att lista det någonstans för att kunna använda det. I själva verket är det redan listat på routingtabellerna i BGP-protokollet, det protokoll som ISP använder för att skapa "internet".

Kineserna (bland andra) är kända för att prova vilken IP-adress som helst för att se om en tjänst lyssnar på den. Din server svarade på en av deras sonder och sedan försöker de smitta dig automatiskt. (i grund och botten det som kallas en skriptattack)

Webbadressen till din webbplats är precis som att lista ditt namn i en telefonbok, med "nummer" som du kan nås under. Detta kommer också att användas av kineserna så snart du publicerar det, men det begränsar inte dem att försöka komma in innan.

I Amerika är arin.net det offentliga arkivet för IP-adressblock och vem de tillhör. Den här informationen hjälper till exempel sys-administratörer att hantera skräppost, dirigering eller andra problem med människor utanför deras nätverk. Men det hjälper också hackare. En hacker som letar efter ekonomisk vinst skulle förmodligen lämna känsliga slutkunder som justitieministeriet, CIA eller militär ensam, och arin.net-katalogen hjälper till att utesluta dem. En sådan hacker skulle göra det bättre att gräva igenom de publicerade intervallerna GoDaddy, Amazon, DigitalOcean, Linode och Rackspace.

Varje kontinent har sin egen katalog som liknar arin.net.

Du kan lika gärna räkna med oönskade besökare och förbereda sig därefter.

Detta är egentligen två frågor.

1.) Hur fick de reda på din IP innan du ens konfigurerade servern?

Som andra har påpekat var det förmodligen bara en del skanning och inte något särskilt riktat specifikt till dig. Det finns verktyg som ZMAP som kan skanna hela IPv4 Internet på bara några minuter.

https://zmap.io/

Det finns många människor samlar in information om Internet som helhet, bara för kommersiella eller forskningsändamål, men också många dåliga aktörer som gör det också. Detta anses vara normalt för Internet och det är inte ovanligt att du gör din första genomsökning av en tredje part inom 2-4 minuter efter att du har anslutit vilken dator som helst till Internet.

Obs! Titta noga på loggarna på din server och du hittar också personer som använder en attackmetod. Det här är dåliga aktörer som har ett sätt att bryta sig in i vissa servrar med en viss konfiguration som letar efter utsatta system. Detta händer hela tiden.

2.) Hur hittar angriparna IP-adresserna till nyligen distribuerade servrar?

Det finns ett antal sätt att göra detta, det vanligaste är som följer:

Använd ett attackverktyg för brute-force-ordbok för att hitta alla värdar som listas i en organisations externa DNS (eller felkonfigurerad intern DNS). Ett verktyg som gör ett bra jobb med detta är THC Hydra https://github.com/vanhauser-thc/thc-hydra

Om det är en stor organisation kan du titta på företagets AS-nummer och hitta tillhörande IP-adresser (IP-prefix) för deras BGP-peering på valfritt antal routerglasögon

https://www.us.ntt.net/support/looking -glass /

Observera att detta bara visar deras huvudsakliga IP-intervall och inte servrar de hanterar som kan finnas hos en fjärrmolnleverantör

En annan metod är för att ladda ner en fullständig lista över omvänd DNS för alla IP-adresser i IPv4-adressutrymmet.

https://scans.io/study/sonar.rdns

Det här kommer inte att hitta allt men det kommer att hitta många webbplatser hos olika molnleverantörer och kan hjälpa till att hitta andra nätverksområden eller tredjepartsföretag som arbetar med en viss organisation

Slutligen. Använd bara sökmotorer. Sökmotorer som upptäcker all HTML och text på webbplatser är ett bra sätt att hitta relaterade servrar som ett företag ställer in även om det inte finns någon motsvarande DNS-post. Som en penetrationstester hittar jag rutinmässigt kopior av webbplatser eller innehållshanteringssystem som är värd för webbutvecklingsteam som jag kan använda för att antingen komma åt företagets huvudwebbplats eller i vissa fall använda för att komma åt webbläsare för personer som arbetar på en specifik organisation. / p>

Dessutom hänvisar vissa webbplatser till andra servrar som ett företag äger genom att visa webbadressen till den andra servern. Så skrotning av all html som är allmänt tillgänglig och sedan sökning efter IP-adresser och domännamn inom det kan också avslöja mer information.

På samma sätt läcker mobilapps och anpassade programapplikationer också denna typ av information.

I processen att göra rekognosering för penetrationstestning är det typiskt att kontrollera alla ovanstående för att upptäcka ytterligare attackyta. Dåliga skådespelare kan göra samma sak och dåliga skådespelare som är välorganiserade gör det hela tiden med hjälp av automatiserade verktyg.