Sistemlerimizden 7/24 yararlanmaya çalışan Çinli Hacker Botları

13

Sitelerimiz, IP adreslerinin Çin'e çözümlenerek, sistemlerimizden yararlanmaya çalışan botlardan sürekli saldırı altındadır. Saldırıları başarısız olsa da, sunucu kaynaklarımızı sürekli olarak tüketiyorlar. Saldırıların bir örneği şöyle görünecektir:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Bir sömürü bulmak için sunucularımıza 7/24, saniyede birden çok kez vuruyorlar. IP adresleri her zaman farklıdır, bu nedenle bu saldırılar için güvenlik duvarına kural eklemek, yeniden başlamadan önce yalnızca kısa vadeli çözümler olarak hizmet eder.

Web sitesi sunulduğunda bu saldırganları tanımlamak için sağlam bir yaklaşım arıyorum. Bir IP adresi belirledikten sonra IIS'ye kural eklemenin programlı bir yolu veya bu istekleri engellemenin daha iyi bir yolu var mı?

Bu IP adreslerini tanımlamak ve engellemek için herhangi bir fikir veya çözüm memnuniyetle karşılanacaktır. Teşekkürler!

security  web-server  iis-6  asp.net  ids 
George
kaynak
IP ile ilişkili kötüye kullanım kişisini bildirmek bir başlangıçtır. IP'lerinin kaynağı olduğunun farkında olmayabilirler.
jl.
Bana bundan bahset! Web sitem de sürekli saldırı altında. Her gün wordpress güvenlik açıklarını arayan bir bot var. Binlerce 404s yayınladıkları için onları htaccess kullanarak engellemeye devam ediyorum!

Yanıtlar:

11

Lütfen tüm ülkeleri , hatta büyük adres bloklarını kara listeye almayın.

Bu eylemlerin sonuçlarını düşünün. Tek bir adresi engellemek bile sitenize olan bağlantıyı önemli sayıda kullanıcı için engelleyebilir . Ana makinelerin meşru sahipleri kutularının olduğunu bilmiyorlar 0wned.

Trafiğin "7/24" geldiğini gösterdiniz ... ama sizden kaynaklarınızdaki giderin gerçekten önemli olup olmadığını değerlendirmenizi rica ediyorum (bu günlük snippet'inden en fazla üç kez ikinci bir isabet görüyorum).

Seçeneklerinizi araştırın. Sunucularınızın gerçekten sağlam olduğundan emin olun, kendi güvenlik açığı değerlendirmenizi yapın ve site kodunuzu inceleyin. İçine bak başına kaynağına oranı-sınırlayıcılarla , web uygulama güvenlik duvarları ve benzerleridir. Sitenizi güvence altına alın, kaynaklarınızı koruyun ve iş ihtiyaçlarınız için anlamlı olanı yapın.

Bunu, hizmetleri Çin Büyük Güvenlik Duvarı tarafından düzenli olarak engellenen biri olarak söylüyorum . Siteniz yeterince iyi olursa, belki de kullanıcılarının size ulaşmasını engellerler !

Medine
kaynak
Saygılarımla, alıntıladığınız aşırı bir durum. Web sitesi dünya çapında bir eğitim portalı değilse, geçerli olduğunu düşünmüyorum. En iyi cevap olarak kabul etmesine rağmen, bunu gelecekte bu konuya giren insanlara tavsiye etmem.
Kopyalama Çalışması Başlangıcı
Botnetlerin küresel ağlar olması ve bu tür saldırılar, botnet'i kontrol eden kişiler ağları tek bir ülkede olsa bile dünya çapındaki herhangi bir IP adresinden gelebileceği için hala geçerli olduğunu ve iyi bir tavsiye olduğunu düşünüyorum. Bugünlerde linux dağıtımlarının çoğu, zaman dönemi başına bağlantı sayısı üzerinde kaynak hızı sınırlaması gerçekleştirmek için "son" iptables modülünü içerir. Apache'nin, oluşturdukları http hata sayfası sayısına bağlı olarak kaynak başına sınırı sınırlaması için muhtemelen bir şeyler vardır.
BeowulfNode42
6

Bütün ülkeleri engelliyorum. Çinliler SADECE sitelerimin 3000'inden tek bir ürün satın aldılar ve yine de bant genişliğimin% 18'ini oluşturuyorlardı. Bunun% 18'inden% 60'ı sömürülecek scriptler arayan botlardı.

  • update - Uzun yıllar sonra Çin'i engellemeyi kapattım. Baidu birkaç anahtar terimler gerçek bot olmayan trafik ile sular altında kaldı. Bir hafta boyunca yaklaşık 400.000 isabet ettikten sonra, yalnızca Basitleştirilmiş Çince'de özel bir sayfa oluşturduktan sonra bir satış yaptım. Bant genişliğine değmez. Onları engellemeye geri dönüyorum.

Ayrıca, phpmyadmin ile durum olmadan başlayan her şeyi aradıklarında, onları FBI'nın Çince sürümüne yönlendirmek için basit bir htaccess kuralı oluşturabilirsiniz.

V_RocKs
kaynak
2

Bir Saldırı Tespit Sistemi olan snort'a bakmayı deneyebilirsiniz (birden fazla url'yi bağlayamadığım için wikipedia'da arayın). Güvenlik duvarınızda zaten bir şey olup olmadığını kontrol edin. Bir IDS gelen trafiği tarar ve bir istismar görürse bunun güvenlik duvarında onu engelleyebileceğini bilir.

Bunun dışında gerçekten yapabileceğiniz pek bir şey yok. Tek bir ip adresinden çok fazla saldırı görmedikçe, hiçbir şey bundan kaynaklanmayacağı için ip adresinin kötüye kullanım kişisini bildirmekten rahatsız olmazdım. Diğer bir öneri ise sunucularınızı güncel tutmak ve kullandığınız üçüncü taraf komut dosyalarını güncel tutmaktır, böylece bu saldırılardan birinin kurbanı olmazsınız.

vrillusions
kaynak
2

Eh, uygun APNIC sicil IANA'da , IP adresi 58.223.238.6 Çin Telecom atanmış bir bloğun parçası - tüm blok 58.208.0.0 olmak - 58.223.255.255. Tam olarak nasıl yaklaşmak istediğinizden emin değilim. Eğer ben olsaydım, kurallardaki tüm adres aralığını engeller ve onunla yapılırdım. Ama bu sizin rahat olmanız için çok yakılmış bir toprak politikası olabilir.

Ben bir web yöneticisi değilim, bu yüzden bir tuz tanesi ile al, ancak bir dizi IP aralığından (Çin) erişimi izleyen bir şey yapabilir ve daha sonra, sömürü girişimleri.

HTH

Holocryptic
kaynak
Sunucuları saldırıya uğrattım ve trafiği engellemek için Çin'den gelen alt ağları engelledim. Çin ile iletişim gerektiren uluslararası hizmetler yürütmedikçe, bunun ne kadar olumsuz olacağından emin değilim, bunu daha kalıcı bir hamle yapmayı düşündüm.
ManiacZX
@ManiacZX benim düşüncemdi. Komik olan şey, listelenen kişinin anti-spam @ hostingcompany olmasıdır. İronik hakkında konuşun.
Holocryptic
@Maniac - Maalesef, işimizin büyük bir kısmı Çin'de, bu nedenle Çin'de büyük alt ağları engelleyen herhangi bir şey yapmak muhtemelen kötü bir fikir olacaktır.
George
@George bu durumda, Jason ve vrillusions'un önerdiği gibi IP adreslerini dinamik olarak algılamak ve engellemek için donanım / yazılım IPS / IDS sistemlerine bakarım.
Holocryptic
1
Dikkate alınması gereken başka bir şey, bunun posta tarafında kullanıldığını gördüm, paketleri görmezden gelmek veya reddetmek yerine aslında isteklerini kabul edecek, daha sonra yanıt vermek için biraz zaman alacak araçlar aramak. Oranlar, araçları çok iyi yazılmış değildir ve bu yüzden bir sonrakine geçmeden önce cevabınızı bekleyecektir. Her 5 saniyede bir boş yanıt, saniyede 100 reddetmeden çok daha iyidir.
ManiacZX
2

İyi bir donanım çözümüne bakmanın zamanı gelmiş olabilir. Bir IPS modülüne sahip bir Cisco ASA, elde edeceğiniz kadar kaya gibi sağlam olacaktır.

http://www.cisco.com/en/US/products/ps6825/index.html

Jason Berg
kaynak
+1 - Sizinle daha fazla anlaşamadım - önemli üretim sunucularının doğrudan istekleri ön plana çıkarmasının bir yolu yok - güvenlik duvarları ve / veya yük dengeleyiciler bunun için.
Chopper3
1
Bir ASA bunu nasıl düzeltir? Özellikle, bir ASA bunu sadece IP'yi engelledikten sonra nasıl daha iyi çözecek?
devicenull
1

McAfee kurumsal donanım cihazları (eski Güvenli Bilgi İşlem Sidewinder serisinin satın alınması), belirli ülkelere veya bölgelere filtreler uygulamanızı sağlayan bir Coğrafi konum özelliğine sahiptir. Çin'den de çok fazla meşru trafiğiniz varsa, dengeyi doğru yapmak zor olabilir.

1

IIS kullanıyorsanız, özel bir metin dosyası kullanarak sunucu engelleme listelerinizi IP veya Aralık ile güncelleyecek veya ayrıca Okean dot com'un güncelleştirme listelerini kullanarak Çin veya Kore'yi tamamen engelleyecek olan hdgreetings dot com'dan IISIP adlı iyi bir program vardır.

Bunu durdurma mantığının bir kısmı, sadece engellenmişlerse - engellemek için sunucu kaynaklarını tüketir ve denemeye devam ederler. Bir döngüye yönlendirilirlerse, bunun yerine sunucularını tüketir. Ayrıca - sansürlenmiş malzemelere yönlendirildikleri takdirde - kendi sistemleri tarafından sansürlenecek ve muhtemelen geri dönmeleri engellenecektir.

Phpmyadmin vb çalışırken hacker botlar sorunu için benim çözüm günlük dosyalarımı okumak ve aradıkları wwwroot tüm klasörleri yapmak daha sonra her biri erişmeye çalıştıkları php dosya adları koymak oldu. Her php dosyası daha sonra başka bir yere bir yönlendirme içerir - bu yüzden eriştiklerinde - onları başka bir yere gönderir. Web'lerim ana bilgisayar üstbilgilerini kullandığından bunları etkilemez. Google araması, yeniden yönlendirme için çok basit bir php betiğinin nasıl yazılacağı hakkında bilgi sağlayacaktır. Benim durumumda onları bal küpü projesine gönderiyorum ya da hasat durumunda sonsuz önemsiz e-postalar üreten bir senaryoya gönderiyorum. Başka bir alternatif, onları kendi iplerine veya kendilerini sansür edecekleri bir şeye yönlendirmektir.

IIS kullanan Çin ftp sözlük hacker botları için, başarısız denemelerde saldırganların IP'sini otomatik olarak yasak listesine ekleyecek banftpips adında güzel bir komut dosyası var. Çalışmak biraz zor ama olağanüstü iyi çalışıyor. Çalışmasını sağlamanın en iyi yolu, komut dosyasının bir dizi yerine yalnızca bir adı kabul ettiği anlaşıldığı için, ilk denenen adı kullanarak komut dosyasının birden çok kopyasını kullanmaktır. Örnek: Yönetici, yönetici, abby vb. Google tarafından da bulunabilir.

Bu çözümler IIS5 Win2K ve muhtemelen yeni IIS üzerinde de çalışır.

Larry
kaynak
0

Config Server Güvenlik Duvarı'nı (CSF) yükleyin ve güvenliği çarpanları engelleyecek şekilde ayarlayın.

TÜM sunucularımızda çalıştırıyoruz.

VisBits
kaynak
0

Her şeyden önce her şeyin güncel olduğundan emin olun. (!!!) phpmyadmin (!!!) gibi hizmetleri gizle . Bu ip adreslerinde whois yapmak ve bu etkinliği kötüye kullanım e-posta adreslerine bildirmek de iyi bir fikir olacaktır . Ama muhtemelen Çin hükümeti bu yüzden onlara gülecekleri bir şeyler vereceksiniz. İşte FBI sorunu raporlama hakkında bilgiler.

Tüm gerçeklikte meseleleri kendi ellerinize almanız gerekir. Sunucunuzu bulmadan önce güvenlik açıklarını test etmeniz gerekir.

Web Uygulaması testi:

  1. NTOSpier ($$$) - Çok iyi ve bu muhtemelen sahip olduklarından daha iyi bir teknolojidir.
  2. Acunetix ($) - İyi, ama harika değil. Sorunlar bulacak.
  3. Wapiti ve w3af (açık kaynak), ikisini de çalıştırmalısınız. Mevcut her w3af saldırı modülünü çalıştırmalısınız. Acuentix veya ntospider ile gitseniz bile w3af çalıştırmalısınız, daha fazla sorun bulma şansı var.

Ağ Hizmetleri Testi:

  1. TÜM eklentilerle OpenVAS'ı çalıştırın .

  2. Tam TCP / UDP taramasıyla NMAP'yi çalıştırın . Güvenlik duvarı ihtiyacınız olmayan her şey.

Sorunlardan herhangi birini düzeltemiyorsanız, daha yüksek bir profesyonel.

Kale
kaynak
0

"Lütfen tüm ülkeleri, hatta büyük adres bloklarını kara listeye almayın. Bu işlemlerin sonuçlarını düşünün. Tek bir adresi engellemek bile sitenize olan bağlantıyı önemli sayıda kullanıcı için engelleyebilir. Ana makinelerin yasal sahipleri tamamen mümkündür. kutularının 0wned olduğunu bilmiyorum. "

Bunun tamamen web sitesinin türüne ve tüm ülkeleri engellemesine veya engellememesine yönelik olarak hedef kitleye bağlı olduğunu düşünüyorum. Elbette, Şangay'daki bir ev sahibinin meşru sahibi, bilgisayarının şirketinize ait bir web sitesini araştırdığını bilmiyor olabilir. Ancak şirketinizin yerel bir kitleye sahip olduğunu varsayalım veya web sitesinin çalışanlarınız için Outlook Web Access portalı olduğunu varsayalım - bu, web sitesini Şangay'daki kullanıcılar için engelleme sorunu mu var?

Elbette net tarafsızlık iyi bir şeydir, ancak tüm web sitelerinin mutlaka küresel bir kitleye hizmet etmesi gerekmez ve meşru web sitesi ziyaretçileri sağlamayan ülkelerden erişimi engelleyerek sorunları önleyebiliyorsanız - neden bunu yapmıyorsunuz?

0

Çin'deki istismar temasının bildirilmesi imkansızdır.

Sıklıkla bu kötüye kullanım e-posta adresleri bile bulunmuyor.

Tüm Çin ip adreslerini engelliyorum, ya da en azından onları kapılıyorum ve erişimini en aza indiriyorum.

Daniel W.
kaynak
Sunucu Arızasına Hoş Geldiniz. Bu bir tartışma forumu değil, bir Soru-Cevap sitesidir, bu nedenle cevaplar aslında soruyu cevaplamalıdır . Sitede yeterli itibara sahip olduğunuzda , diğer sorular ve cevaplar hakkında yorum bırakabilirsiniz .
Michael Hampton
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.