Hacker-Bots Trung Quốc cố gắng khai thác hệ thống của chúng tôi 24/7


13

Các trang web của chúng tôi liên tục bị tấn công từ các bot có địa chỉ IP giải quyết sang Trung Quốc, cố gắng khai thác các hệ thống của chúng tôi. Trong khi các cuộc tấn công của họ đang chứng tỏ không thành công, chúng là một sự hao tổn liên tục vào tài nguyên máy chủ của chúng tôi. Một mẫu của các cuộc tấn công sẽ trông như vậy:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Họ đang tấn công các máy chủ của chúng tôi 24/7, nhiều lần mỗi giây, để tìm cách khai thác. Các địa chỉ IP luôn khác nhau, vì vậy việc thêm quy tắc vào tường lửa cho các cuộc tấn công này chỉ đóng vai trò là giải pháp ngắn hạn trước khi chúng bắt đầu lại.

Tôi đang tìm kiếm một cách tiếp cận vững chắc để xác định những kẻ tấn công này khi trang web được phục vụ. Có cách lập trình nào để thêm quy tắc vào IIS khi xác định địa chỉ IP hoặc cách tốt hơn để chặn các yêu cầu này không?

Mọi ý tưởng hoặc giải pháp để xác định và chặn các địa chỉ IP này sẽ rất được hoan nghênh. Cảm ơn!


Thông báo liên hệ lạm dụng liên quan đến IP là một sự khởi đầu. Họ có thể không nhận thức được IP của họ là nguồn.
jl.

Nói cho tôi nghe về nó đi! Trang web của tôi cũng bị tấn công liên tục. Mỗi ngày có một bot tìm kiếm lỗ hổng wordpress. Tôi tiếp tục chặn họ bằng cách sử dụng htaccess khi họ phát hành hàng ngàn 404!

Câu trả lời:


11

Vui lòng không liệt kê toàn bộ các quốc gia hoặc thậm chí các khối địa chỉ lớn.

Hãy xem xét ý nghĩa của những hành động này. Ngay cả việc chặn một địa chỉ duy nhất cũng có thể chặn kết nối đến trang web của bạn cho một số lượng người dùng đáng kể . Chủ sở hữu hợp pháp của chủ nhà không biết hộp của họ là hoàn toàn có thể 0wned.

Bạn đã hiển thị lưu lượng truy cập đến "24/7" ... nhưng tôi sẽ yêu cầu bạn đánh giá xem việc tiêu hao tài nguyên của bạn có thực sự đáng kể hay không (tôi thấy ba lần truy cập tối đa thứ hai từ đoạn trích nhật ký đó).

Hãy điều tra các lựa chọn của bạn. Hãy chắc chắn rằng máy chủ của bạn đã thực sự cứng, tiến hành đánh giá lỗ hổng của riêng bạn và xem lại mã trang web của bạn. Nhìn vào các bộ giới hạn tỷ lệ trên mỗi nguồn , tường lửa ứng dụng web và những thứ tương tự. Bảo mật trang web của bạn, bảo tồn tài nguyên của bạn và làm những gì có ý nghĩa cho nhu cầu kinh doanh của bạn.

Tôi nói điều này như một người có dịch vụ thường xuyên bị Great Firewall của Trung Quốc chặn . Nếu trang web của bạn kết thúc đủ tốt, có thể họ thậm chí sẽ chặn người dùng của họ tiếp cận với bạn !


Với tất cả sự tôn trọng, đó là một trường hợp cực đoan mà bạn đã trích dẫn. Trừ khi trang web của anh ấy là một cổng thông tin giáo dục trên toàn thế giới, tôi không nghĩ rằng nó được áp dụng. Mặc dù anh ấy đã chấp nhận nó như một câu trả lời hay nhất, tôi sẽ không giới thiệu nó cho những người gặp chủ đề này trong tương lai.
Sao chép Run Bắt đầu

Tôi nghĩ rằng nó vẫn được áp dụng và là lời khuyên tốt, đơn giản vì botnet là mạng toàn cầu và các kiểu tấn công này có thể đến từ bất kỳ địa chỉ IP nào trên toàn thế giới, ngay cả khi những người điều khiển botnet ở một quốc gia duy nhất là mạng của họ. Hầu hết các bản phân phối linux ngày nay bao gồm mô-đun iptables "gần đây" để thực hiện cho mỗi tốc độ nguồn giới hạn số lượng kết nối trên mỗi khoảng thời gian. Có lẽ có một cái gì đó có sẵn cho apache để xếp hạng giới hạn cho mỗi nguồn dựa trên số trang lỗi http mà chúng tạo ra.
BeowulfNode42

6

Tôi chặn cả nước. Người Trung Quốc CHỈ đã mua một mặt hàng từ hơn 3000 trang web của tôi và họ đã sử dụng để chiếm 18% băng thông của tôi. Trong đó 18% khoảng 60% trong số đó là các bot tìm kiếm các kịch bản để khai thác.

  • cập nhật - Sau nhiều năm tôi đã tắt chặn Trung Quốc. Tôi đã tràn ngập lưu lượng truy cập không phải bot thực sự trên một vài điều khoản chính từ Baidu. Sau khoảng 400.000 lượt truy cập trong một tuần, tôi chỉ thực hiện một lần bán sau khi tôi đã tạo một trang đặc biệt bằng tiếng Trung giản thể. Không có giá trị băng thông. Tôi sẽ quay trở lại để chặn chúng.

Bạn cũng có thể thiết lập quy tắc htaccess đơn giản để chuyển hướng chúng sang phiên bản tiếng Trung của FBI mỗi khi họ tìm kiếm bất cứ thứ gì bắt đầu với phpmyadmin mà không cần trường hợp.


2

Bạn có thể thử xem xét snort là Hệ thống phát hiện xâm nhập (tìm kiếm nó trên wikipedia vì tôi không thể liên kết nhiều hơn một url). Kiểm tra xem tường lửa của bạn có thể đã có một cái gì đó chưa. IDS quét lưu lượng truy cập đến và nếu thấy khai thác, nó biết về nó có thể chặn lưu lượng trên tường lửa.

Bên cạnh đó, bạn không thể làm được gì nhiều. Tôi sẽ không bận tâm thông báo liên hệ lạm dụng địa chỉ IP vì không có khả năng sẽ xảy ra từ đó trừ khi bạn thấy nhiều cuộc tấn công từ một địa chỉ IP duy nhất. Chỉ có đề xuất khác là giữ cho máy chủ của bạn cập nhật và bất kỳ tập lệnh bên thứ ba nào bạn sử dụng cập nhật để bạn không trở thành nạn nhân của một trong những cuộc tấn công này.


2

Theo đăng ký apnic của iana , địa chỉ IP 58.223.238.6 là một phần của khối được gán cho China Telecom - với toàn bộ khối là 58.208.0.0 - 58.223.255.255. Tôi không chắc chắn chính xác cách bạn muốn tiếp cận nó. Nếu là tôi, tôi sẽ chặn toàn bộ phạm vi địa chỉ trong quy tắc của mình và được thực hiện với nó. Nhưng đó có thể là quá nhiều chính sách thiêu đốt để bạn có thể thoải mái.

Tôi không phải là quản trị viên web, vì vậy hãy sử dụng một hạt muối, nhưng bạn có thể tạo ra thứ gì đó theo dõi truy cập từ một bộ dải IP (Trung Quốc), sau đó cho họ khởi động nếu có hoạt động trỏ đến nỗ lực khai thác.

HTH


Tôi đã có các máy chủ bị tấn công và chặn các mạng con bao gồm từ Trung Quốc để thu hút lưu lượng. Tôi đã cân nhắc việc thực hiện điều này nhiều hơn một bước đi vĩnh viễn, trừ khi điều hành các dịch vụ quốc tế yêu cầu liên lạc với Trung Quốc, tôi không chắc chắn nhược điểm sẽ là gì.
ManiacZX

@ManiacZX đó là suy nghĩ của tôi. Điều buồn cười là liên hệ được liệt kê là chống spam @ hostingcompany. Nói về mỉa mai.
Holocryptic

@Maniac - Thật không may, một phần lớn trong hoạt động kinh doanh của chúng tôi là ở Trung Quốc, vì vậy, làm bất cứ điều gì ngăn chặn các mạng con lớn ở Trung Quốc có lẽ là một ý tưởng tồi.
George

@George nếu đó là trường hợp, tôi sẽ xem xét các hệ thống IPS / IDS phần cứng / phần mềm để tự động phát hiện và chặn các địa chỉ IP trong trường hợp đó, như Jason và vrillusions đã đề xuất.
Holocryptic

1
Một điều khác cần xem xét, tôi đã thấy điều này được sử dụng ở phía thư, là tìm kiếm các công cụ thay vì chỉ bỏ qua hoặc từ chối các gói sẽ thực sự chấp nhận yêu cầu của họ, sau đó mất một lúc để trả lời. Các tỷ lệ cược là các công cụ của họ không được viết tốt và vì vậy sẽ chờ phản hồi của bạn trước khi tiếp tục. Một phản hồi trống cứ sau 5 giây sẽ tốt hơn rất nhiều so với 100 lần từ chối mỗi giây.
ManiacZX

2

Có thể là thời gian để xem xét một giải pháp phần cứng tốt. Cisco ASA với mô-đun IPS sẽ gần giống với khối đá cứng như bạn sẽ có.

http://www.cisco.com/en/US/products/ps6825/index.html


+1 - Tôi không thể đồng ý với bạn nhiều hơn - không có cách nào mà các máy chủ sản xuất quan trọng phải trực tiếp đáp ứng các yêu cầu - đó là những gì tường lửa và / hoặc bộ cân bằng tải dành cho.
Chopper3

1
Làm thế nào là một ASA sẽ sửa chữa điều này? Cụ thể, làm thế nào một ASA sẽ khắc phục điều này tốt hơn sau đó chỉ chặn IP?
devicenull

1

Các thiết bị phần cứng dành cho doanh nghiệp của McAfee (mua lại loạt Sidewinder Secure Computing trước đây) có tính năng Geo-location cho phép bạn áp dụng các bộ lọc cho các quốc gia hoặc khu vực cụ thể. Có thể rất khó để có được sự cân bằng ngay cả khi bạn cũng có nhiều lưu lượng truy cập hợp pháp từ Trung Quốc.


1

Nếu bạn đang sử dụng IIS - có một chương trình tốt có tên IISIP từ hdgreetings dot com sẽ cập nhật danh sách khối máy chủ của bạn bằng IP hoặc Range bằng tệp văn bản tùy chỉnh hoặc cũng chặn hoàn toàn Trung Quốc hoặc Hàn Quốc bằng danh sách cập nhật từ Okean dot com.

Một phần của logic trong việc ngăn chặn điều này là nếu chúng chỉ bị chặn - nó tiêu tốn tài nguyên máy chủ để chặn và chúng tiếp tục cố gắng. Nếu chúng được chuyển hướng đến một vòng lặp - thay vào đó, nó sẽ tiêu tốn máy chủ của chúng. Cũng như vậy - nếu chúng được hướng đến các tài liệu bị kiểm duyệt - chúng sẽ lần lượt được kiểm duyệt bởi hệ thống của chính chúng và có thể ngăn chặn việc quay lại.

Đối với vấn đề các bot hacker đang thử phpmyadmin, v.v., giải pháp của tôi là đọc các tệp nhật ký của tôi và tạo tất cả các thư mục trong wwwroot mà chúng đang tìm kiếm sau đó đặt vào mỗi tên tệp php mà chúng cố gắng truy cập. Mỗi tệp php sau đó chỉ đơn giản chứa một chuyển hướng đến một nơi khác - vì vậy khi họ truy cập vào nó - nó sẽ gửi chúng đi nơi khác. Vì tất cả các trang web của tôi đều sử dụng các tiêu đề máy chủ - nó hoàn toàn không ảnh hưởng đến chúng. Một tra cứu google sẽ cung cấp thông tin về cách viết một tập lệnh php rất đơn giản để chuyển hướng. Trong trường hợp của tôi, tôi gửi chúng cho dự án honeypot hoặc gửi chúng đến một kịch bản tạo ra các email rác vô hạn trong trường hợp chúng đang thu hoạch. Một cách khác là chuyển hướng họ trở lại ip của chính họ hoặc đến một cái gì đó họ sẽ tự kiểm duyệt.

Đối với các bot hacker từ điển ftp Trung Quốc sử dụng IIS, có một đoạn script đẹp gọi là banftpips sẽ tự động thêm IP của kẻ tấn công vào danh sách cấm trong các lần thử thất bại. Đó là một chút khó khăn để có được làm việc nhưng làm việc đặc biệt tốt. Cách tốt nhất để làm cho nó hoạt động là sử dụng nhiều bản sao của tập lệnh bằng cách sử dụng tên được thử trước tiên vì tập lệnh dường như chỉ chấp nhận một tên chứ không phải là một mảng. Ví dụ: Quản trị viên, quản trị viên, abby, v.v ... Nó cũng có thể được tìm thấy bởi google.

Các giải pháp này hoạt động trên IIS5 Win2K và có thể cả trên IIS mới hơn.


0

Cài đặt cấu hình tường lửa máy chủ (CSF) và đặt bảo mật để chặn bất kỳ cái nào gây nhiễu.

Chúng tôi chạy nó trên TẤT CẢ các máy chủ của chúng tôi.


0

Đầu tiên và quan trọng nhất là đảm bảo mọi thứ được cập nhật. Ẩn các dịch vụ như (!!!) phpmyadmin (!!!) . Nó cũng là một ý tưởng tốt để thực hiện một whois trên các địa chỉ IP này và báo cáo hoạt động này đến địa chỉ email lạm dụng của họ. Nhưng có lẽ chính phủ Trung Quốc nên bạn sẽ cười cho họ. Dưới đây là thông tin về báo cáo vấn đề với FBI.

Trong tất cả thực tế, bạn cần phải đưa vấn đề vào tay của chính bạn. Bạn cần kiểm tra máy chủ của mình để tìm lỗ hổng trước khi chúng tìm thấy.

Kiểm tra ứng dụng web:

  1. NTOSpier ($$$) - Rất tốt, và đây có lẽ là công nghệ tốt hơn họ có.
  2. Acunetix ($) - Tốt, nhưng không tuyệt vời. Nó sẽ tìm thấy vấn đề.
  3. Wapiti và w3af (mã nguồn mở), bạn nên chạy cả hai. Bạn nên chạy mọi mô-đun tấn công w3af có sẵn. Ngay cả khi bạn đi với acuentix hoặc ntospider, bạn vẫn nên chạy w3af, có khả năng nó sẽ tìm thấy nhiều vấn đề hơn.

Kiểm tra dịch vụ mạng:

  1. Chạy OpenVAS với TẤT CẢ các plugin.

  2. Chạy NMAP với quét TCP / UDP đầy đủ. Tường lửa mọi thứ tắt mà bạn không cần.

Nếu bạn không thể khắc phục bất kỳ vấn đề nào, hãy nâng cao chuyên môn.


0

"Vui lòng không liệt kê toàn bộ các quốc gia hoặc thậm chí các khối địa chỉ lớn. Hãy xem xét tác động của những hành động này. Ngay cả việc chặn một địa chỉ duy nhất cũng có thể chặn kết nối đến trang web của bạn cho một số lượng người dùng đáng kể. không biết hộp của họ đã bị 0wned. "

Tôi nghĩ rằng nó phụ thuộc hoàn toàn vào loại trang web và đối tượng dự định, việc chặn toàn bộ quốc gia hay không là điều khôn ngoan. Chắc chắn, chủ sở hữu hợp pháp của một máy chủ lưu trữ ở Thượng Hải có thể không biết máy tính của anh ta đang thăm dò một trang web thuộc về công ty của bạn. Nhưng giả sử công ty của bạn có đối tượng địa phương hoặc giả sử trang web là cổng thông tin Outlook Web Access cho nhân viên của bạn - đó có phải là vấn đề chặn trang web cho người dùng từ Thượng Hải không?

Tất nhiên tính trung lập ròng là một điều tốt, nhưng không phải tất cả các trang web đều phải phục vụ đối tượng toàn cầu và nếu bạn có thể ngăn chặn sự cố bằng cách chặn truy cập từ các quốc gia không cung cấp khách truy cập trang web hợp pháp - tại sao không làm như vậy?


0

Thông báo liên hệ lạm dụng ở Trung Quốc là không thể.

Họ sẽ không phản ứng, thông thường, những địa chỉ email lạm dụng này thậm chí không tồn tại.

Tôi đang chặn tất cả các địa chỉ IP của Trung Quốc hoặc ít nhất là chuyển chúng và giới hạn quyền truy cập của chúng ở mức tối thiểu.


Chào mừng bạn đến với Lỗi Máy chủ. Đây là một trang web Hỏi & Đáp, không phải là một diễn đàn thảo luận, vì vậy câu trả lời thực sự nên trả lời câu hỏi . Một khi bạn có đủ danh tiếng trên trang web, bạn sẽ có thể để lại nhận xét về các câu hỏi và câu trả lời khác .
Michael Hampton
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.