Làm thế nào những 'bot xấu' tìm thấy máy chủ web kín của tôi?

Tôi đã cài đặt Apache cách đây một thời gian và xem nhanh access.log của tôi cho thấy rằng tất cả các loại IP không xác định đang kết nối, chủ yếu là với mã trạng thái 403, 404, 400, 408. Tôi không biết họ đang tìm kiếm như thế nào IP của tôi, vì tôi chỉ sử dụng nó cho mục đích cá nhân và thêm robot.txt với hy vọng nó sẽ giúp các công cụ tìm kiếm tránh xa. Tôi chặn các chỉ mục và không có gì thực sự quan trọng trên đó.

Làm thế nào những bot (hoặc người) tìm thấy máy chủ? Có phổ biến cho điều này xảy ra? Những kết nối này có nguy hiểm không / tôi có thể làm gì về nó?

Ngoài ra, rất nhiều IP đến từ tất cả các quốc gia và không giải quyết tên máy chủ.

Đây là một loạt các ví dụ về những gì đi qua:

trong một lần quét lớn, bot này đã cố gắng tìm phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

tôi nhận được rất nhiều trong số này:

"HEAD / HTTP/1.0" 403 - "-" "-"

rất nhiều "proxyheader.php", tôi nhận được khá nhiều yêu cầu với các liên kết http: // trong GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"KẾT NỐI"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"xà phòngCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

và điều này thực sự sơ sài hex ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

trống

"-" 408 - "-" "-"

Đó chỉ là ý chính của nó. Tôi nhận được tất cả các loại rác, ngay cả với các tác nhân người dùng win95.

Cảm ơn.

Chào mừng bạn đến với internet :)

• Làm thế nào họ tìm thấy bạn: Rất có thể, quét IP vũ phu. Giống như dòng lỗ hổng liên tục của họ quét trên máy chủ của bạn một khi họ tìm thấy nó.
• Để ngăn chặn trong tương lai: Mặc dù không hoàn toàn có thể tránh được, bạn có thể ức chế các công cụ bảo mật như Fail2Ban trên Apache hoặc giới hạn tỷ lệ - hoặc cấm thủ công - hoặc thiết lập ACL
• Rất phổ biến để thấy điều này trên bất kỳ phần cứng có thể truy cập bên ngoài nào đáp ứng trên các cổng chung
• Nó chỉ nguy hiểm nếu bạn có các phiên bản phần mềm chưa được vá trên máy chủ có thể dễ bị tấn công. Đây chỉ là những nỗ lực mù quáng để xem liệu bạn có bất cứ điều gì 'tuyệt vời' cho những đứa trẻ kịch bản này để sửa lại không. Hãy nghĩ về điều đó khi một người nào đó đi dạo quanh bãi đậu xe đang thử cửa xe để xem họ có mở khóa không, hãy chắc chắn rằng bạn là ai và rất có thể anh ta sẽ để bạn yên.

Đây chỉ là những người cố gắng tìm lỗ hổng trong máy chủ. Hầu như chắc chắn được thực hiện bởi các máy tính.

Sẽ chỉ là những người quét các dải IP nhất định - bạn có thể thấy từ phpMyAdmin, rằng nó đang cố gắng tìm một phiên bản PMA được cài đặt trước được bảo mật kém. Khi tìm thấy nó, nó có thể có quyền truy cập đáng ngạc nhiên vào hệ thống.

Đảm bảo rằng hệ thống của bạn luôn được cập nhật và bạn không có bất kỳ dịch vụ nào không bắt buộc.

Đây là những robot quét để khai thác bảo mật đã biết. Họ chỉ cần quét toàn bộ phạm vi mạng và do đó sẽ tìm thấy các máy chủ không được chuyển đổi như của bạn. Họ không chơi đẹp và không quan tâm đến robot.txt của bạn. Nếu họ tìm thấy lỗ hổng, họ sẽ đăng nhập nó (và bạn có thể mong đợi một cuộc tấn công thủ công trong thời gian ngắn) hoặc sẽ tự động lây nhiễm vào máy của bạn bằng rootkit hoặc phần mềm độc hại tương tự. Có rất ít bạn có thể làm về điều này và đó chỉ là kinh doanh bình thường trên internet. Chúng là lý do tại sao điều quan trọng là luôn cài đặt các bản sửa lỗi bảo mật mới nhất cho phần mềm của bạn.

Như những người khác đã lưu ý, họ có khả năng thực hiện quét vũ phu. Nếu bạn đang ở trên một địa chỉ IP động, họ có thể sẽ quét địa chỉ của bạn nhiều hơn. (Lời khuyên sau đây giả định Linux / UNIX, nhưng hầu hết có thể được áp dụng cho Máy chủ Windows.)

Các cách dễ nhất để chặn chúng là:

• Tường lửa cổng 80 và chỉ cho phép một phạm vi địa chỉ IP giới hạn truy cập vào máy chủ của bạn.
• Định cấu hình ACL (s) trong cấu hình apache của bạn, chỉ cho phép một số địa chỉ nhất định truy cập sever của bạn. (Bạn có thể có các quy tắc khác nhau cho nội dung khác nhau.)
• Yêu cầu xác thực để truy cập từ Internet.
• Thay đổi chữ ký máy chủ để loại trừ bản dựng của bạn. (Không có nhiều bảo mật tăng lên, nhưng làm cho các cuộc tấn công cụ thể phiên bản khó khăn hơn một chút.
• Cài đặt một công cụ như fail2ban, để tự động chặn địa chỉ của họ. Bắt đúng (các) mẫu phù hợp có thể mất một chút công việc, nhưng nếu 400 lỗi loạt không phổ biến đối với tầm nhìn của bạn có thể không khó.

Để hạn chế thiệt hại họ có thể gây ra cho hệ thống của bạn, hãy đảm bảo rằng quy trình apache chỉ có thể ghi vào các thư mục và tệp mà nó có thể thay đổi. Trong hầu hết các trường hợp, máy chủ chỉ cần truy cập đọc vào nội dung mà nó phục vụ.

Internet là không gian công cộng, do đó, thuật ngữ ip công cộng. Bạn không thể ẩn ngoại trừ bằng cách đặt một số cách để từ chối công khai (vpn, acl trên tường lửa, directaccess, v.v.). Những kết nối này rất nguy hiểm vì cuối cùng ai đó sẽ nhanh chóng khai thác bạn hơn bạn đang vá lỗi. Tôi sẽ xem xét một số loại xác thực trước khi trả lời.