Hacker-Bots Trung Quốc cố gắng khai thác hệ thống của chúng tôi 24/7

Các trang web của chúng tôi liên tục bị tấn công từ các bot có địa chỉ IP giải quyết sang Trung Quốc, cố gắng khai thác các hệ thống của chúng tôi. Trong khi các cuộc tấn công của họ đang chứng tỏ không thành công, chúng là một sự hao tổn liên tục vào tài nguyên máy chủ của chúng tôi. Một mẫu của các cuộc tấn công sẽ trông như vậy:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Họ đang tấn công các máy chủ của chúng tôi 24/7, nhiều lần mỗi giây, để tìm cách khai thác. Các địa chỉ IP luôn khác nhau, vì vậy việc thêm quy tắc vào tường lửa cho các cuộc tấn công này chỉ đóng vai trò là giải pháp ngắn hạn trước khi chúng bắt đầu lại.

Tôi đang tìm kiếm một cách tiếp cận vững chắc để xác định những kẻ tấn công này khi trang web được phục vụ. Có cách lập trình nào để thêm quy tắc vào IIS khi xác định địa chỉ IP hoặc cách tốt hơn để chặn các yêu cầu này không?

Mọi ý tưởng hoặc giải pháp để xác định và chặn các địa chỉ IP này sẽ rất được hoan nghênh. Cảm ơn!

Vui lòng không liệt kê toàn bộ các quốc gia hoặc thậm chí các khối địa chỉ lớn.

Hãy xem xét ý nghĩa của những hành động này. Ngay cả việc chặn một địa chỉ duy nhất cũng có thể chặn kết nối đến trang web của bạn cho một số lượng người dùng đáng kể . Chủ sở hữu hợp pháp của chủ nhà không biết hộp của họ là hoàn toàn có thể 0wned.

Bạn đã hiển thị lưu lượng truy cập đến "24/7" ... nhưng tôi sẽ yêu cầu bạn đánh giá xem việc tiêu hao tài nguyên của bạn có thực sự đáng kể hay không (tôi thấy ba lần truy cập tối đa thứ hai từ đoạn trích nhật ký đó).

Hãy điều tra các lựa chọn của bạn. Hãy chắc chắn rằng máy chủ của bạn đã thực sự cứng, tiến hành đánh giá lỗ hổng của riêng bạn và xem lại mã trang web của bạn. Nhìn vào các bộ giới hạn tỷ lệ trên mỗi nguồn , tường lửa ứng dụng web và những thứ tương tự. Bảo mật trang web của bạn, bảo tồn tài nguyên của bạn và làm những gì có ý nghĩa cho nhu cầu kinh doanh của bạn.

Tôi nói điều này như một người có dịch vụ thường xuyên bị Great Firewall của Trung Quốc chặn . Nếu trang web của bạn kết thúc đủ tốt, có thể họ thậm chí sẽ chặn người dùng của họ tiếp cận với bạn !

Tôi chặn cả nước. Người Trung Quốc CHỈ đã mua một mặt hàng từ hơn 3000 trang web của tôi và họ đã sử dụng để chiếm 18% băng thông của tôi. Trong đó 18% khoảng 60% trong số đó là các bot tìm kiếm các kịch bản để khai thác.

• cập nhật - Sau nhiều năm tôi đã tắt chặn Trung Quốc. Tôi đã tràn ngập lưu lượng truy cập không phải bot thực sự trên một vài điều khoản chính từ Baidu. Sau khoảng 400.000 lượt truy cập trong một tuần, tôi chỉ thực hiện một lần bán sau khi tôi đã tạo một trang đặc biệt bằng tiếng Trung giản thể. Không có giá trị băng thông. Tôi sẽ quay trở lại để chặn chúng.

Bạn cũng có thể thiết lập quy tắc htaccess đơn giản để chuyển hướng chúng sang phiên bản tiếng Trung của FBI mỗi khi họ tìm kiếm bất cứ thứ gì bắt đầu với phpmyadmin mà không cần trường hợp.

Bạn có thể thử xem xét snort là Hệ thống phát hiện xâm nhập (tìm kiếm nó trên wikipedia vì tôi không thể liên kết nhiều hơn một url). Kiểm tra xem tường lửa của bạn có thể đã có một cái gì đó chưa. IDS quét lưu lượng truy cập đến và nếu thấy khai thác, nó biết về nó có thể chặn lưu lượng trên tường lửa.

Bên cạnh đó, bạn không thể làm được gì nhiều. Tôi sẽ không bận tâm thông báo liên hệ lạm dụng địa chỉ IP vì không có khả năng sẽ xảy ra từ đó trừ khi bạn thấy nhiều cuộc tấn công từ một địa chỉ IP duy nhất. Chỉ có đề xuất khác là giữ cho máy chủ của bạn cập nhật và bất kỳ tập lệnh bên thứ ba nào bạn sử dụng cập nhật để bạn không trở thành nạn nhân của một trong những cuộc tấn công này.

Theo đăng ký apnic của iana , địa chỉ IP 58.223.238.6 là một phần của khối được gán cho China Telecom - với toàn bộ khối là 58.208.0.0 - 58.223.255.255. Tôi không chắc chắn chính xác cách bạn muốn tiếp cận nó. Nếu là tôi, tôi sẽ chặn toàn bộ phạm vi địa chỉ trong quy tắc của mình và được thực hiện với nó. Nhưng đó có thể là quá nhiều chính sách thiêu đốt để bạn có thể thoải mái.

Tôi không phải là quản trị viên web, vì vậy hãy sử dụng một hạt muối, nhưng bạn có thể tạo ra thứ gì đó theo dõi truy cập từ một bộ dải IP (Trung Quốc), sau đó cho họ khởi động nếu có hoạt động trỏ đến nỗ lực khai thác.

HTH

Có thể là thời gian để xem xét một giải pháp phần cứng tốt. Cisco ASA với mô-đun IPS sẽ gần giống với khối đá cứng như bạn sẽ có.

http://www.cisco.com/en/US/products/ps6825/index.html

Các thiết bị phần cứng dành cho doanh nghiệp của McAfee (mua lại loạt Sidewinder Secure Computing trước đây) có tính năng Geo-location cho phép bạn áp dụng các bộ lọc cho các quốc gia hoặc khu vực cụ thể. Có thể rất khó để có được sự cân bằng ngay cả khi bạn cũng có nhiều lưu lượng truy cập hợp pháp từ Trung Quốc.

Nếu bạn đang sử dụng IIS - có một chương trình tốt có tên IISIP từ hdgreetings dot com sẽ cập nhật danh sách khối máy chủ của bạn bằng IP hoặc Range bằng tệp văn bản tùy chỉnh hoặc cũng chặn hoàn toàn Trung Quốc hoặc Hàn Quốc bằng danh sách cập nhật từ Okean dot com.

Một phần của logic trong việc ngăn chặn điều này là nếu chúng chỉ bị chặn - nó tiêu tốn tài nguyên máy chủ để chặn và chúng tiếp tục cố gắng. Nếu chúng được chuyển hướng đến một vòng lặp - thay vào đó, nó sẽ tiêu tốn máy chủ của chúng. Cũng như vậy - nếu chúng được hướng đến các tài liệu bị kiểm duyệt - chúng sẽ lần lượt được kiểm duyệt bởi hệ thống của chính chúng và có thể ngăn chặn việc quay lại.

Đối với vấn đề các bot hacker đang thử phpmyadmin, v.v., giải pháp của tôi là đọc các tệp nhật ký của tôi và tạo tất cả các thư mục trong wwwroot mà chúng đang tìm kiếm sau đó đặt vào mỗi tên tệp php mà chúng cố gắng truy cập. Mỗi tệp php sau đó chỉ đơn giản chứa một chuyển hướng đến một nơi khác - vì vậy khi họ truy cập vào nó - nó sẽ gửi chúng đi nơi khác. Vì tất cả các trang web của tôi đều sử dụng các tiêu đề máy chủ - nó hoàn toàn không ảnh hưởng đến chúng. Một tra cứu google sẽ cung cấp thông tin về cách viết một tập lệnh php rất đơn giản để chuyển hướng. Trong trường hợp của tôi, tôi gửi chúng cho dự án honeypot hoặc gửi chúng đến một kịch bản tạo ra các email rác vô hạn trong trường hợp chúng đang thu hoạch. Một cách khác là chuyển hướng họ trở lại ip của chính họ hoặc đến một cái gì đó họ sẽ tự kiểm duyệt.

Đối với các bot hacker từ điển ftp Trung Quốc sử dụng IIS, có một đoạn script đẹp gọi là banftpips sẽ tự động thêm IP của kẻ tấn công vào danh sách cấm trong các lần thử thất bại. Đó là một chút khó khăn để có được làm việc nhưng làm việc đặc biệt tốt. Cách tốt nhất để làm cho nó hoạt động là sử dụng nhiều bản sao của tập lệnh bằng cách sử dụng tên được thử trước tiên vì tập lệnh dường như chỉ chấp nhận một tên chứ không phải là một mảng. Ví dụ: Quản trị viên, quản trị viên, abby, v.v ... Nó cũng có thể được tìm thấy bởi google.

Các giải pháp này hoạt động trên IIS5 Win2K và có thể cả trên IIS mới hơn.

Cài đặt cấu hình tường lửa máy chủ (CSF) và đặt bảo mật để chặn bất kỳ cái nào gây nhiễu.

Chúng tôi chạy nó trên TẤT CẢ các máy chủ của chúng tôi.

Đầu tiên và quan trọng nhất là đảm bảo mọi thứ được cập nhật. Ẩn các dịch vụ như (!!!) phpmyadmin (!!!) . Nó cũng là một ý tưởng tốt để thực hiện một whois trên các địa chỉ IP này và báo cáo hoạt động này đến địa chỉ email lạm dụng của họ. Nhưng có lẽ chính phủ Trung Quốc nên bạn sẽ cười cho họ. Dưới đây là thông tin về báo cáo vấn đề với FBI.

Trong tất cả thực tế, bạn cần phải đưa vấn đề vào tay của chính bạn. Bạn cần kiểm tra máy chủ của mình để tìm lỗ hổng trước khi chúng tìm thấy.

Kiểm tra ứng dụng web:

1. NTOSpier ($$$) - Rất tốt, và đây có lẽ là công nghệ tốt hơn họ có.
2. Acunetix ($) - Tốt, nhưng không tuyệt vời. Nó sẽ tìm thấy vấn đề.
3. Wapiti và w3af (mã nguồn mở), bạn nên chạy cả hai. Bạn nên chạy mọi mô-đun tấn công w3af có sẵn. Ngay cả khi bạn đi với acuentix hoặc ntospider, bạn vẫn nên chạy w3af, có khả năng nó sẽ tìm thấy nhiều vấn đề hơn.

Kiểm tra dịch vụ mạng:

1. Chạy OpenVAS với TẤT CẢ các plugin.

2. Chạy NMAP với quét TCP / UDP đầy đủ. Tường lửa mọi thứ tắt mà bạn không cần.

Nếu bạn không thể khắc phục bất kỳ vấn đề nào, hãy nâng cao chuyên môn.

"Vui lòng không liệt kê toàn bộ các quốc gia hoặc thậm chí các khối địa chỉ lớn. Hãy xem xét tác động của những hành động này. Ngay cả việc chặn một địa chỉ duy nhất cũng có thể chặn kết nối đến trang web của bạn cho một số lượng người dùng đáng kể. không biết hộp của họ đã bị 0wned. "

Tôi nghĩ rằng nó phụ thuộc hoàn toàn vào loại trang web và đối tượng dự định, việc chặn toàn bộ quốc gia hay không là điều khôn ngoan. Chắc chắn, chủ sở hữu hợp pháp của một máy chủ lưu trữ ở Thượng Hải có thể không biết máy tính của anh ta đang thăm dò một trang web thuộc về công ty của bạn. Nhưng giả sử công ty của bạn có đối tượng địa phương hoặc giả sử trang web là cổng thông tin Outlook Web Access cho nhân viên của bạn - đó có phải là vấn đề chặn trang web cho người dùng từ Thượng Hải không?

Tất nhiên tính trung lập ròng là một điều tốt, nhưng không phải tất cả các trang web đều phải phục vụ đối tượng toàn cầu và nếu bạn có thể ngăn chặn sự cố bằng cách chặn truy cập từ các quốc gia không cung cấp khách truy cập trang web hợp pháp - tại sao không làm như vậy?

Thông báo liên hệ lạm dụng ở Trung Quốc là không thể.

Họ sẽ không phản ứng, thông thường, những địa chỉ email lạm dụng này thậm chí không tồn tại.

Tôi đang chặn tất cả các địa chỉ IP của Trung Quốc hoặc ít nhất là chuyển chúng và giới hạn quyền truy cập của chúng ở mức tối thiểu.