Bu 'kötü botlar' kapalı web sunucumu nasıl buluyor?

8

Bir süre önce Apache'yi yükledim ve access.log dosyasına hızlı bir bakış, bilinmeyen her türlü IP'nin, çoğunlukla 403, 404, 400, 408 durum koduyla bağlandığını gösteriyor. Nasıl buldukları hakkında hiçbir fikrim yok IP adresim, çünkü sadece kişisel kullanım için kullanıyorum ve arama motorlarını uzak tutacağını umarak bir robots.txt ekledim. Dizinleri engelliyorum ve üzerinde gerçekten önemli bir şey yok.

Bu botlar (veya insanlar) sunucuyu nasıl buluyor? Bunun olması yaygın mı? Bu bağlantılar tehlikeli mi / bu konuda ne yapabilirim?

Ayrıca, birçok IP her türlü ülkeden geliyor ve bir ana bilgisayar adını çözmüyor.

İşte neler olduğuna dair birkaç örnek:

büyük bir süpürmede, bu bot phpmyadmin'i bulmaya çalıştı:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

Ben bunlardan bol olsun:

"HEAD / HTTP/1.0" 403 - "-" "-"

"proxyheader.php" bir sürü, ben GET http: // bağlantıları ile oldukça istekleri biraz olsun

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"CONNECT"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"SoapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

ve bu gerçekten kabataslak altıgen saçmalık ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

boş

"-" 408 - "-" "-"

Bu sadece onun özü. Win95 kullanıcı aracılarıyla bile her türlü önemsiz şey alıyorum.

Teşekkürler.

apache-2.2 web-crawler

— bryc
kaynak

13

İnternete hoş geldiniz :)

Sizi nasıl buldular: Muhtemelen, kaba kuvvet IP taraması. Tıpkı sunucunuzu bulduklarında sürekli güvenlik açığı taraması gibi.
Gelecekte önlemek için: Tamamen önlenemez olsa da, Apache'de Fail2Ban gibi güvenlik araçlarını engelleyebilir veya hız sınırları - veya manuel olarak yasaklamak - veya ACL'leri ayarlamak
Bunu , ortak bağlantı noktalarına yanıt veren dışarıdan erişilebilir herhangi bir donanımda görmek çok yaygındır
Yalnızca , ana bilgisayarda savunmasız olabilecek, dağılmamış yazılım sürümleriniz varsa tehlikelidir . Bunlar sadece bu senaryo çocuklarının uğraşması için 'havalı' bir şey olup olmadığını görmek için kör girişimlerdir. Kilidini açıp açmadıklarını görmek için arabanın kapılarını deneyen otoparkta dolaşan biri olarak düşünün, sizinkinin olduğundan emin olun ve şansınızı kendiniz yalnız bırakacaktır.

— ince buz
kaynak

2

Saldırı yüzeyinizi otomatik taramalara indirmenin bir yolu, web sunucunuzu standart olmayan bir bağlantı noktasında çalıştırmaktır. Web sunucusunu yalnızca kişisel kullanım için çalıştırıyorsanız, bu kabul edilebilir. Ancak bu, sisteminize yönelik hedefli saldırılara karşı koruma sağlamak için hiçbir şey yapmaz. Sisteminizi "gizli moda" koymak için bir güvenlik duvarı oluşturmak da istenmeyen hizmetlere erişimi engelleyebilir. Bu, ICMP Yankı İsteklerini vb. Engellemeyi de içerir

— Per von Zweigbergk

1

Bunlar sadece sunuculardaki güvenlik açıklarını bulmaya çalışan kişilerdir. Neredeyse kesinlikle zarar görmüş makineler tarafından yapılır.

Sadece belirli IP aralıklarını tarayan insanlar olacak - phpMyAdmin olandan, PMA'nın kötü bir şekilde yüklenmiş ön yükleme sürümünü bulmaya çalıştığını görebilirsiniz. Bir kez bulunduğunda, sisteme şaşırtıcı bir şekilde erişebilir.

Sisteminizin güncel olduğundan ve gerekli olmayan herhangi bir hizmetinizin olmadığından emin olun.

— Martin Alderson
kaynak

Ayrıca robots.txt dosyası yönlendirilmiş saldırılara yol açabilir. İnsanların görmesini istemediğiniz bir şey varsa, bunu robots.txt dosyanızda tanıtmayın ... ACL'ler ve kimlik doğrulamalı erişim ile koruyun.

— Red Tux

1

Bunlar bilinen güvenlik açıklarını tarayan robotlardır. Tüm ağ aralıklarını tararlar ve bu nedenle sizinki gibi reklamı yapılmayan sunucuları bulurlar. İyi oynamıyorlar ve robots.txt'nizi önemsemiyorlar. Bir güvenlik açığı bulursa, ya günlüğe kaydeder (ve kısa süre içinde manuel bir saldırı bekleyebilirsiniz) veya makinenize otomatik olarak bir rootkit veya benzeri kötü amaçlı yazılım bulaştıracaktır. Bu konuda yapabileceğiniz çok az şey var ve internette sadece normal bir iş. Bunlar, yazılımınız için her zaman en son güvenlik düzeltmelerine sahip olmanın önemli olmasının nedenidir.

— Ingmar Hupp
kaynak

1

Diğerlerinin de belirttiği gibi, muhtemelen kaba kuvvet taraması yapıyorlar. Dinamik bir IP adresindeyseniz adresinizi tarama olasılığı daha yüksek olabilir. (Aşağıdaki önerilerde Linux / UNIX olduğu varsayılmaktadır, ancak çoğu Windows Sunucularına uygulanabilir.)

Onları engellemenin en kolay yolları:

Güvenlik duvarı bağlantı noktası 80 ve sunucunuza erişmek için yalnızca sınırlı sayıda IP adresine izin verin.
Apache yapılandırmanızda yalnızca belirli adreslerin sunucunuza erişmesine izin veren ACL'leri yapılandırın. (Farklı içerikler için farklı kurallarınız olabilir.)
İnternetten erişim için kimlik doğrulaması gerektir.
Derlemenizi hariç tutmak için sunucu imzasını değiştirin. (Çok fazla güvenlik değil, versiyona özgü saldırıları biraz daha zorlaştırıyor.
Adreslerini otomatik olarak engellemek için fail2ban gibi bir araç kurun. Eşleşen desen (ler) i doğru yapmak biraz çalışma gerektirebilir, ancak 400 serisi hatalar görüşünüz için nadirse o kadar zor olmayabilir.

Sisteminize verebilecekleri hasarı sınırlamak için, apache işleminin yalnızca değiştirmesi gereken dizinlere ve dosyalara yazabildiğinden emin olun. Çoğu durumda, sunucunun sunduğu içeriğe yalnızca okuma erişimi gerekir.

— BillThor
kaynak

0

İnternet kamusal alan, yani kamusal ip terimi. Herkesi inkar etmenin bir yolunu ayarlamak dışında gizleyemezsiniz (vpn, güvenlik duvarında acl, directaccess vb.). Bu bağlantılar tehlikelidir, çünkü sonunda birisi sizi sömürmekte yamanızdan daha hızlı olacaktır. Yanıt vermeden önce bir tür kimlik doğrulamasını düşünürdüm.

— Jim B
kaynak