Китайские хакерские боты пытаются использовать наши системы 24/7


13

Наши сайты постоянно подвергаются атакам со стороны ботов с IP-адресами, которые переправляются в Китай, пытаясь использовать наши системы. Хотя их атаки оказываются неудачными, они постоянно истощают ресурсы наших серверов. Пример атаки будет выглядеть так:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Они буквально бьют по нашим серверам 24/7 несколько раз в секунду, пытаясь найти эксплойт. IP-адреса всегда разные, поэтому добавление правил в брандмауэр для этих атак служит лишь кратковременным решением до их повторного запуска.

Я ищу надежный подход к идентификации этих злоумышленников, когда сайт обслуживается. Существует ли программный способ добавления правил в IIS после определения IP-адреса или лучший способ блокировать эти запросы?

Любые идеи или решения для идентификации и блокировки этих IP-адресов будут приветствоваться. Благодарность!


Уведомление о злоупотреблении контактом связанного с IP является началом. Они могут не знать, что их IP является источником.
JL.

Расскажи мне об этом! Мой сайт также находится под постоянной атакой. Каждый день бот ищет уязвимости в WordPress. Я продолжаю блокировать их, используя htaccess, поскольку они выдают тысячи 404-х!

Ответы:


11

Пожалуйста, не помещайте в черный список целые страны или даже большие адресные блоки.

Рассмотрим последствия этих действий. Даже блокировка одного адреса может заблокировать подключение к вашему сайту для значительного числа пользователей . Вполне возможно, что законные владельцы хостов не знают, что их коробки были 0wned.

Вы показывали трафик, приходящий "24/7" ... но я бы попросил вас оценить, действительно ли истощены ваши ресурсы (я вижу три хита в секунду максимум из этого фрагмента журнала).

Изучите ваши варианты. Убедитесь, что ваши серверы действительно защищены, проведите собственную оценку уязвимости и проверьте код своего сайта. Посмотрите на ограничители скорости для каждого источника , брандмауэры веб-приложений и тому подобное. Защитите свой сайт, сохраните свои ресурсы и делайте то, что имеет смысл для нужд вашего бизнеса.

Я говорю это как кто-то, чьи сервисы регулярно блокировались Великим брандмауэром Китая . Если ваш сайт окажется достаточно хорошим, возможно, они даже заблокируют доступ пользователей к вам !


При всем уважении, это крайний случай, который вы привели. Если его сайт не является всемирным образовательным порталом, я не думаю, что он применим. Несмотря на то, что он принял это как лучший ответ, я не рекомендовал бы это людям, которые сталкиваются с этой темой в будущем.
Копировать Запуск

Я думаю, что он все еще применим и является хорошим советом, просто потому, что ботнеты являются глобальными сетями, и такого рода атаки могут осуществляться с любого IP-адреса во всем мире, даже если лица, контролирующие ботнет, находятся в одной стране, а их сети - нет. Большинство дистрибутивов Linux в эти дни включают в себя модуль iptables «последние» для ограничения скорости соединения для каждого источника на количество подключений за период времени. Вероятно, есть что-то доступное для apache, чтобы оценить ограничение для каждого источника на основе количества страниц ошибок HTTP, которые они тоже генерируют.
BeowulfNode42

6

Я блокирую целые страны. Китайцы приобрели ТОЛЬКО один предмет из более чем 3000 моих сайтов, но на них приходилось 18% моей пропускной способности. Из этих 18% около 60% были боты, ищущие сценарии для использования.

  • Обновление - Через много лет я отключил блокировку Китая. На нескольких ключевых терминах Baidu меня залил реальный не бот-трафик. После примерно 400 000 просмотров за неделю я сделал одну продажу только после того, как создал специальную страницу на упрощенном китайском. Не стоит пропускной способности. Я собираюсь вернуться к их блокированию.

Вы также можете установить простое правило htaccess, чтобы перенаправлять их на китайскую версию ФБР каждый раз, когда они ищут что-то, начинающееся с phpmyadmin без регистра.


2

Вы можете попробовать посмотреть на snort - систему обнаружения вторжений (ищите ее в википедии, так как я не могу связать более одного URL). Проверьте, что ваш брандмауэр уже может что-то иметь. IDS сканирует входящий трафик, и если он обнаруживает эксплойт, о котором он знает, он может заблокировать его на брандмауэре.

Кроме того, вы мало что можете сделать. Я бы не стал уведомлять о злоупотреблении контактом по IP-адресу, поскольку вряд ли что-то из этого получится, если вы не увидите много атак с одного IP-адреса. Лишь другое предложение - обновлять ваши серверы и любые сторонние скрипты, которые вы используете, чтобы вы не стали жертвой одной из этих атак.


2

Что ж, согласно реестру apnic в iana , IP-адрес 58.223.238.6 является частью блока, назначенного China Telecom - со всем блоком 58.208.0.0 - 58.223.255.255. Я не уверен, как именно вы хотите приблизиться к этому. Если бы это был я, я бы заблокировал весь диапазон адресов в моих правилах и покончил бы с этим. Но это может быть слишком большой политикой выжженной земли, чтобы вам было удобно.

Я не веб-администратор, поэтому возьмите это с собой, но вы можете создать что-то, что контролирует доступ с набора диапазонов IP-адресов (Китай), а затем дает им загрузку, если есть активность, которая указывает на попытки эксплуатации.

НТН


Я атаковал серверы и заблокировал охватывающие его подсети из Китая для взлома трафика. Я подумал о том, чтобы сделать это более постоянным ходом, если только не запущены международные службы, требующие связи с Китаем, я не уверен, каким будет недостаток.
ManiacZX

@ManiacZX, это было мое мышление. Самое смешное, что указанный контакт - антиспам @ hostingcompany. Разговор об иронии.
Голокриптик

@Maniac - К сожалению, большая часть нашего бизнеса находится в Китае, поэтому делать что-либо, что блокирует большие подсети в Китае, было бы плохой идеей.
Джордж

@ Джордж, если это так, я бы посмотрел на аппаратные / программные системы IPS / IDS, чтобы динамически обнаруживать и блокировать IP-адреса в этом случае, как предложили Джейсон и vrillusions.
Голокриптик

1
Еще одна вещь, которую стоит учесть: я видел, что это используется на стороне почты, - это искать инструменты, которые вместо того, чтобы просто игнорировать или отклонять пакеты, фактически принимают их запрос, а затем требуют времени для ответа. Скорее всего, их инструменты не так хорошо написаны и поэтому будут ждать вашего ответа, прежде чем перейти к следующему. Один пустой ответ каждые 5 секунд намного лучше, чем 100 отклонений в секунду.
ManiacZX

2

Может быть, пришло время изучить хорошее аппаратное решение. Cisco ASA с модулем IPS будет примерно настолько же надежна, насколько это возможно.

http://www.cisco.com/en/US/products/ps6825/index.html


+1 - я не могу с тобой согласиться - ни в коем случае ни в коем случае нельзя, чтобы важные производственные серверы напрямую обращались к запросам - для этого нужны брандмауэры и / или балансировщики нагрузки.
Chopper3

1
Как ASA собирается это исправить? В частности, как ASA собирается исправить это лучше, чем просто блокировка IP?
devicenull

1

Корпоративные аппаратные средства McAfee (выкуп предыдущей серии Secure Computing Sidewinder) имеют функцию геолокации, которая позволяет применять фильтры к конкретным странам или регионам. Может быть сложно получить правильный баланс, хотя, если у вас также есть много законного трафика из Китая.


1

Если вы используете IIS - есть хорошая программа под названием IISIP от hdgreetings dot com, которая будет обновлять списки блокировки вашего сервера по IP или диапазону, используя пользовательский текстовый файл, а также полностью блокировать Китай или Корею, используя списки обновлений из Okean dot com.

Часть логики в остановке заключается в том, что если они блокируются - он потребляет ресурсы сервера для блокировки, и они продолжают попытки. Если они перенаправлены в цикл - он использует их серверы. Также - если они направлены на материалы, подвергаемые цензуре, - они, в свою очередь, будут подвергаться цензуре по собственной системе и, возможно, не смогут вернуться.

Для решения проблемы хакерских ботов, пытающихся использовать phpmyadmin и т. Д., Я решил прочитать мои файлы журналов и сделать все папки в wwwroot, которые они ищут, затем добавить в каждую из них имена файлов php, к которым они пытаются получить доступ. Каждый php-файл просто содержит перенаправление в другое место - поэтому, когда они получают к нему доступ, он отправляет их в другое место. Поскольку все мои сети используют заголовки хоста - это никак не влияет на них. Поиск в Google предоставит информацию о том, как написать очень простой PHP-скрипт для перенаправления. В моем случае я отправляю их либо в проект honeypot, либо в сценарий, который генерирует бесконечные ненужные электронные письма в случае их сбора. Другая альтернатива - перенаправить их обратно на собственный ip или на то, что они сами будут подвергать цензуре.

Для китайских хакерских ботов из ftp-словаря, использующих IIS, есть хороший скрипт под названием banftpips, который автоматически добавит IP-адрес злоумышленников в список банов при неудачных попытках. Это немного сложно получить работу, но работает исключительно хорошо. Лучший способ заставить его работать - это использовать несколько копий сценария, используя имя, которое было впервые опробовано, поскольку сценарий принимает только одно имя, а не массив. Пример: администратор, администратор, Эбби и т. Д. Его также можно найти в Google.

Эти решения работают на IIS5 Win2K и, возможно, также на более новых IIS.


0

Установите Config Server Firewall (CSF) и настройте безопасность, чтобы заблокировать любой, который забивает.

Мы запускаем его на ВСЕХ наших серверов.


0

Прежде всего убедитесь, что все в курсе. Скрыть службы, такие как (!!!) phpmyadmin (!!!) . Также было бы неплохо сделать whois на этих IP-адресах и сообщить об этом действии на их адрес электронной почты. Но это, вероятно, правительство Китая, так что вы просто дадите им над чем посмеяться. Вот информация о том, как сообщить о проблеме в ФБР.

Во всей реальности вам нужно взять дело в свои руки. Вам нужно проверить свой сервер на наличие уязвимостей, прежде чем они найдут его.

Тестирование веб-приложения:

  1. NTOSpier ($$$) - очень хорошо, и это, вероятно, лучшая технология, чем они имеют.
  2. Acunetix ($) - хорошо, но не отлично. Это найдет проблемы.
  3. Wapiti и w3af (с открытым исходным кодом), вы должны запустить их обоих. Вы должны запустить каждый доступный модуль атаки w3af. Даже если вы используете acuentix или ntospider, вы все равно должны запустить w3af, есть вероятность, что он найдет больше проблем.

Тестирование сетевых сервисов:

  1. Запустите OpenVAS со ВСЕМИ плагинами.

  2. Запустите NMAP с полным сканированием TCP / UDP. Брандмауэр все, что вам не нужно.

Если вы не можете решить ни одну из проблем, обратитесь к профессионалу.


0

«Пожалуйста, не вносите в черный список целые страны или даже большие адресные блоки. Примите во внимание последствия этих действий. Даже блокировка одного адреса может заблокировать подключение к вашему сайту для значительного числа пользователей. Это вполне возможно законными владельцами хостов». Я не знаю, их ящики были помечены ".

Я думаю, что это полностью зависит от типа веб-сайта и предполагаемой аудитории, разумно ли блокировать целые страны. Конечно, законный владелец хоста в Шанхае может не знать, что его компьютер проверяет веб-сайт, принадлежащий вашей компании. Но предположим, что ваша компания имеет локальную аудиторию, или предположим, что веб-сайт является порталом Outlook Web Access для ваших сотрудников - это проблема блокировки веб-сайта для пользователей из Шанхая?

Конечно, сетевой нейтралитет - это хорошо, но не все веб-сайты обязательно должны обслуживать глобальную аудиторию, и если вы можете предотвратить проблемы, блокируя доступ из стран, которые не предоставляют законных посетителей веб-сайтов - почему бы не сделать это?


0

Информировать о злоупотреблении контакт в китае невозможно.

Они не будут реагировать, часто, эти адреса электронной почты злоупотребления даже не существуют.

Я блокирую все китайские IP-адреса или, по крайней мере, блокирую их и ограничиваю их доступ до минимума.


Добро пожаловать в сбой сервера. Это сайт вопросов и ответов , а не дискуссионный форум, поэтому ответы на самом деле должны ответить на вопрос . Как только у вас будет достаточно репутации на сайте, вы сможете оставлять комментарии к другим вопросам и ответам .
Майкл Хэмптон
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.