Вопрос: Китайские Hacker-Bots пытаются использовать наши системы 24/7


Наши сайты постоянно подвергаются атакам ботов с IP-адресами, разрешающими Китай, пытаясь использовать наши системы. Хотя их атаки оказываются неудачными, они постоянно истощают ресурсы наших серверов. Образец атак будет выглядеть следующим образом:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Они изобилуют нашими серверами 24/7, несколько раз в секунду, и ищут эксплойт. IP-адреса всегда разные, поэтому добавление правил для брандмауэра для этих атак является лишь краткосрочным решением до того, как они снова начнутся.

Я ищу надежный подход к идентификации этих злоумышленников при обслуживании веб-сайта. Существует ли программный способ добавления правил в IIS после идентификации IP-адреса или лучшего способа блокировки этих запросов?

Любые идеи или решения для идентификации и блокировки этих IP-адресов будут очень приветствоваться. Благодаря!


13
2017-07-23 17:21


Источник


Уведомление о злоупотреблении, связанное с IP-адресом, является началом. Возможно, они не знают, что их IP-источник является источником. - jl.
Расскажи мне об этом! Мой сайт также находится под постоянной атакой. Каждый день бот ищет уязвимости Wordpress. Я продолжаю блокировать их с помощью htaccess, поскольку они выдают тысячи 404s!


Ответы:


Пожалуйста, не занесены в черный список целые страны, или даже большие блоки адресов.

Рассмотрим последствия этих действий. Даже блокирование одного адреса может блокировать подключение к вашему сайту для значительного числа пользователей, Вполне возможно, что законные владельцы хостов не знают, что их ящики были 0wned,

Вы показывали движение «24/7» ... но я бы попросил вас оценить, действительно ли утечка ваших ресурсов действительно значительна (я вижу, что три раза больше второго максимума из этого фрагмента журнала).

Изучите свои варианты. Убедитесь, что ваши серверы действительно затвердеют, проводят собственную оценку уязвимости и обзор кода вашего сайта. Посмотрите ограничители скорости для каждого источника, брандмауэры веб-приложений, и тому подобное. Защитите свой сайт, сохраните свои ресурсы и сделайте то, что имеет смысл для потребностей вашего бизнеса.

Я говорю об этом как о ком-то, чьи услуги регулярно блокировались Великий брандмауэр Китая, Если ваш сайт окажется достаточно хорошим, возможно, они даже заблокируют своих пользователей от доступа к вам!


11
2017-07-24 05:04



Со всем уважением, это крайний случай, который вы указали. Если его веб-сайт не является всемирным порталом образования, я не думаю, что это применимо. Несмотря на то, что он принял это как лучший ответ, я бы не рекомендовал этого людям, которые в будущем придут на эту тему. - Copy Run Start
Я думаю, что он по-прежнему применяется и является хорошим советом, просто потому, что ботнеты являются глобальными сетями, и подобные атаки могут исходить от любого IP-адреса по всему миру, даже если лица, контролирующие бот-сеть, находятся в одной стране, их сети нет. Большинство дистрибутивов linux в эти дни включают модуль iptables «последние» для выполнения на скорость источника, ограничивая количество подключений за период времени. Вероятно, есть что-то доступное для apache, чтобы оценить ограничение на источник на основе количества страниц ошибок HTTP, которые они генерируют. - BeowulfNode42


Я блокирую целые страны. Китайцы ТОЛЬКО купили один предмет из более чем 3000 моих сайтов, и все же они использовали для учета 18% моей пропускной способности. Из этих 18% около 60% из них были ботами, которые искали сценарии для использования.

  • Обновление - через много лет я отключил блокирование Китая. Я был затоплен реальным не-бот-трафиком на нескольких ключевых терминах от Baidu. После 400 000 обращений в течение нескольких недель я сделал одну продажу только после того, как создал специальную страницу на упрощенном китайском языке. Не стоит пропускной способности. Я возвращаюсь к их блокированию.

Вы также можете настроить простое правило htaccess, чтобы перенаправить их на китайскую версию FBI каждый раз, когда они ищут что-либо, начиная с phpmyadmin без случая.


6
2017-08-07 08:16





Вы можете попробовать посмотреть фырканье которая является системой обнаружения вторжений (поиск по ней в Википедии, поскольку я не могу связать более одного URL-адреса). Убедитесь, что у вашего брандмауэра что-то уже есть. IDS сканирует входящий трафик, и если он видит эксплойт, о котором он знает, он может заблокировать его на брандмауэре.

Помимо этого, вы не можете очень многое сделать. Я не стал бы уведомлять о нарушении контакта с IP-адресом, так как маловероятно, что от него ничего не выйдет, если вы не увидите много атак с одного IP-адреса. Только другое предложение позволяет обновлять ваши серверы и любые сторонние скрипты, которые вы используете до настоящего времени, чтобы вы не стали жертвой одной из этих атак.


2
2017-07-23 18:03





Хорошо, согласно АПНИК реестр IANA, IP-адрес 58.223.238.6 является частью блока, присвоенного China Telecom, при этом весь блок составляет 58.208.0.0 - 58.223.255.255. Я точно не знаю, как вы к нему подходите. Если бы это был я, я бы заблокировал весь диапазон адресов в моих правилах и покончил с этим. Но для вас может быть слишком много политики выжженной земли.

Я не администратор веб-сайтов, поэтому возьмите это с солью, но вы можете создать что-то, что контролирует доступ из набора диапазонов IP (Китай), а затем дает им загрузку, если есть активность, которая указывает на попытки эксплуатации.

НТН


2
2017-07-23 20:00



У меня были серверы, подвергшиеся атаке и заблокированные, охватывающие подсети из Китая, чтобы перехватить трафик. Я рассматривал возможность сделать это более постоянным шагом, если не использовать международные службы, требующие общения с Китаем, я не уверен, что будет недостатком. - ManiacZX
@ManiacZX, о котором я думал. Самое смешное, что указанный контакт - это антиспам @ hostingcompany. Поговорите об иронии. - Holocryptic
@Maniac - К сожалению, большая часть нашего бизнеса находится в Китае, поэтому делать что-либо, что блокирует большие подсети в Китае, вероятно, будет плохой идеей. - George
@George, если это так, я бы посмотрел на аппаратные / программные системы IPS / IDS для динамического обнаружения и блокировки IP-адресов в этом случае, как предположили Джейсон и vrillusions. - Holocryptic
Другое дело, что я видел это, используемое на почтовой стороне, - это поиск инструментов, которые вместо того, чтобы просто игнорировать или отклонять пакеты, действительно будут принимать их запрос, а затем потребуется некоторое время, чтобы ответить. Скорее всего, их инструменты не так хорошо написаны, и поэтому будут ждать вашего ответа, прежде чем переходить к следующему. Один пустой ответ каждые 5 секунд намного лучше, чем 100 отказов в секунду. - ManiacZX


Настало время заглянуть в хорошее аппаратное решение. Cisco ASA с модулем IPS будет примерно такой же, как и в случае с твердым покрытием.

http://www.cisco.com/en/US/products/ps6825/index.html


2
2017-07-23 21:28



+1 - Я не мог согласиться с вами больше - в аду не должно быть, чтобы на важных производственных серверах были прямые запросы - вот для чего нужны брандмауэры и / или балансировки нагрузки. - Chopper3
Как ASA собирается это исправить? В частности, как ASA собирается исправить это лучше, чем просто блокировать IP? - devicenull


Прикладные аппаратные средства McAfee для предприятий (выкуп бывшей серии Secure Computing Sidewinder) имеет функцию географического местоположения, которая позволяет применять фильтры в определенных странах или регионах. Может быть сложно получить баланс, хотя, если у вас есть много законного трафика из Китая.


1
2017-07-23 23:15





Если вы используете IIS - есть хорошая программа под названием IISIP из hdgreetings dot com, которая будет обновлять списки блоков серверов по IP или диапазону с помощью пользовательского текстового файла, а также блокировать Китай или Корею, полностью используя списки обновлений от Okean dot com.

Часть логики в том, чтобы остановить это, заключается в том, что если они только заблокированы - он потребляет ресурсы сервера, чтобы блокировать, и они продолжают пытаться. Если они перенаправлены на цикл, они вместо этого потребляют свои серверы. Также - если они направлены на цензурные материалы - они, в свою очередь, будут подвергнуты цензуре собственной системой и, возможно, не смогут вернуться.

Для проблемы хакерских ботов, пытающихся phpmyadmin и т. Д., Мое решение состояло в том, чтобы читать мои файлы журналов и делать все папки в wwwroot, которые они ищут, а затем вставлять в каждый из них имена файлов php, к которым они пытаются получить доступ. Каждый php-файл затем просто содержит перенаправление в другое место - поэтому, когда они обращаются к нему, он отправляет их в другое место. Поскольку мои веб-сайты используют заголовки хостов, это не затрагивает их вообще. Поиск google предоставит информацию о том, как написать очень простой PHP-скрипт для перенаправления. В моем случае я отправляю их либо в проект honeypot, либо отправляю их на скрипт, который генерирует бесконечные нежелательные электронные письма в случае их сбора. Другая альтернатива - перенаправить их обратно на свой собственный ip или на то, что они будут подвергать цензуре.

Для китайских ftp-шлемов-хакеров, использующих IIS, есть хороший скрипт под названием banftpips, который автоматически добавит IP-адрес злоумышленников в список запретов при неудачных попытках. Немного сложно работать, но работает исключительно хорошо. Лучший способ заставить его работать - использовать несколько копий сценария, используя имя, которое сначала пыталось использовать, поскольку только сценарий, похоже, принимает одно имя, а не массив. Пример: администратор, администратор, abby и т. Д. Его также можно найти в Google.

Эти решения работают на IIS5 Win2K и, возможно, также на новых IIS.


1
2017-09-22 06:26





Установите Config Server Firewall (CSF) и установите защиту для блокировки любого из них.

Мы запускаем его на ВСЕХ наших серверах.


0
2017-07-23 21:58





Прежде всего, убедитесь, что все в актуальном состоянии. Скрыть такие услуги, как (!!!) PHPMyAdmin (!!!), Было бы также неплохо кто на этих IP-адресах и сообщить об этом действии на адрес электронной почты для злоупотребления. Но это, вероятно, китайское правительство, поэтому вы просто дадите им что-то смеяться. Вот это информация о предоставлении отчетности ФБР.

Во всей реальности вам нужно взять дело в свои руки. Вам нужно проверить свой сервер на наличие уязвимостей, прежде чем они его найдут.

Тестирование веб-приложений:

  1. NTOSpier ($$$) - Очень хорошо, и это, вероятно, лучшая технология чем они есть.
  2. Acunetix ($) - Хорошо, но не Великий. Он найдет проблемы.
  3. Wapiti и w3af (с открытым исходным кодом), вы должны запускать оба из них. Вам следует запускать каждый модуль атаки w3af доступный. Даже если вы идете с acuentix или ntospider вы должны все еще работает w3af, есть шанс он найдет больше проблем.

Тестирование сетевых сервисов:

  1. Бег OpenVAS со всеми плагинами.

  2. Бег NMAP с полным TCP / UDP сканирования. Брандмауэр - все, что вам не нужно.

Если вы не можете исправить какие-либо проблемы, вы должны быть более профессиональными.


0
2017-07-24 08:57





«Не помещайте в черный список целые страны или даже большие блоки адресов. Рассмотрите последствия этих действий. Даже блокирование одного адреса может блокировать подключение к вашему сайту для значительного числа пользователей. Возможно, вполне законные владельцы хостов не знаю, что их ящики были потеряны ».

Я думаю, что это полностью зависит от типа веб-сайта и целевой аудитории, будь то блокирование целых стран. Конечно, законный владелец хоста в Шанхае может не знать, что его компьютер исследует веб-сайт, принадлежащий вашей компании. Но предположим, что у вашей компании есть местная аудитория, или предположим, что веб-сайт является порталом Outlook Web Access для ваших сотрудников - это проблема блокирования веб-сайта для пользователей из Шанхая?

Конечно, чистый нейтралитет - это хорошо, но не все сайты обязательно должны обслуживать глобальную аудиторию, и если вы можете предотвратить проблемы, заблокировав доступ из стран, которые не предоставляют законных посетителей веб-сайта, - почему бы не сделать этого?


0
2017-08-01 14:20