Как эти «плохие боты» находят мой закрытый веб-сервер?

Я установил Apache некоторое время назад, и быстрый просмотр моего access.log показывает, что подключаются все виды неизвестных IP-адресов, в основном с кодом состояния 403, 404, 400, 408. Я понятия не имею, как они находят мой IP, потому что я использую его только для личного использования, и добавил robots.txt, надеясь, что он не даст поисковым системам. Я блокирую индексы, и в этом нет ничего действительно важного.

Как эти боты (или люди) находят сервер? Это обычно случается? Опасны ли эти связи / что я могу с этим сделать?

Кроме того, многие IP-адреса поступают из разных стран и не разрешают имя хоста.

Вот несколько примеров того, что приходит через:

в один большой шаг этот бот попытался найти phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

я получаю много из них:

"HEAD / HTTP/1.0" 403 - "-" "-"

много "proxyheader.php", я получаю немало запросов со ссылками http: // в GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"CONNECT"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

и это действительно отрывочная шестнадцатеричная чушь ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

опорожнить

"-" 408 - "-" "-"

Это только суть. Я получаю всякую ерунду, даже с пользовательскими агентами win95.

Спасибо.

Добро пожаловать в интернет :)

• Как они вас нашли: Скорее всего, IP-сканирование грубой силы. Так же, как их постоянный поток сканирования уязвимостей на вашем хосте, как только они его нашли.
• Предотвратить в будущем: Хотя этого нельзя избежать, вы можете заблокировать средства безопасности, такие как Fail2Ban для Apache, ограничения скорости или запреты вручную, а также настройку ACL.
• Это очень часто встречается на любом внешнем доступном оборудовании, которое отвечает на общие порты
• Это опасно только в том случае, если у вас есть незащищенные версии программного обеспечения на хосте, которые могут быть уязвимы. Это просто слепые попытки увидеть, есть ли у вас что-нибудь «крутое» для этих сценаристов, с которыми можно повозиться. Думайте об этом, как о том, что кто-то ходит по парковке, пробует автомобильные двери, чтобы увидеть, не открыты ли они, убедитесь, что это ваш шанс, и есть вероятность, что он оставит вас в покое.

Это просто люди, которые пытаются найти уязвимости на серверах. Почти наверняка сделано на компримированных машинах.

Это будут просто люди, сканирующие определенные диапазоны IP-адресов - по phpMyAdmin видно, что он пытается найти плохо защищенную предустановочную версию PMA. Как только он найден, он может получить удивительный доступ к системе.

Убедитесь, что ваша система обновлена, и у вас нет служб, которые не требуются.

Это роботы, сканирующие известные уязвимости. Они просто сканируют все диапазоны сети и, следовательно, найдут неопознанные серверы, подобные вашему. Они не играют хорошо и не заботятся о вашем robots.txt. Если они обнаружат уязвимость, они либо зарегистрируют ее (и вскоре вы можете ожидать атаку вручную), либо автоматически заразят вашу машину руткитом или подобным вредоносным ПО. С этим очень мало что можно сделать, и это просто обычный бизнес в интернете. Они являются причиной, по которой важно всегда устанавливать последние исправления безопасности для вашего программного обеспечения.

Как отметили другие, они, вероятно, делают сканирование методом грубой силы. Если у вас динамический IP-адрес, они могут с большей вероятностью отсканировать ваш адрес. (Следующий совет предполагает использование Linux / UNIX, но большинство из них может быть применено к серверам Windows.)

Простейшие способы их блокировки:

• Порт брандмауэра 80 и разрешает доступ к вашему серверу только ограниченному диапазону IP-адресов.
• Сконфигурируйте ACL в вашей конфигурации apache, которая позволяет только определенному адресу получать доступ к вашему серверу. (Вы можете иметь разные правила для разного контента.)
• Требовать аутентификацию для доступа из интернета.
• Измените подпись сервера, чтобы исключить вашу сборку. (Повышенная безопасность не сильно повышается, но делает атаки, зависящие от версии, немного сложнее.
• Установите инструмент, например fail2ban, чтобы автоматически заблокировать их адрес. Правильный выбор шаблона (шаблонов) может занять немного времени, но если ошибки серии 400 являются редкостью для вашего взгляда, это может быть не так сложно.

Чтобы ограничить ущерб, который они могут нанести вашей системе, убедитесь, что процесс apache может записывать только в каталоги и файлы, которые он может изменять. В большинстве случаев серверу нужен только доступ для чтения к контенту, который он обслуживает.

Интернет является публичным пространством, таким образом, термин публичный IP. Вы не можете спрятаться, кроме как путем установки какого-либо способа запретить доступ общественности (vpn, acl на брандмауэре, прямой доступ и т. Д.). Эти связи опасны, так как в конечном итоге кто-то будет быстрее эксплуатировать вас, чем вы исправляете. Я хотел бы рассмотреть некоторые виды проверки подлинности, прежде чем ответить.