Chińscy hakerzy-botowie próbują wykorzystywać nasze systemy 24 godziny na dobę, 7 dni w tygodniu

13

Nasze strony są nieustannie atakowane przez boty z adresami IP rozstrzygającymi się w Chinach, próbującymi wykorzystać nasze systemy. Choć ich ataki okazują się nieskuteczne, stale zmniejszają zasoby naszych serwerów. Próbka ataków wyglądałaby tak:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Litalnie uderzają w nasze serwery 24/7, wiele razy na sekundę, szukając exploita. Adresy IP są zawsze różne, więc dodanie reguł do zapory ogniowej dla tych ataków służy tylko jako krótkoterminowe rozwiązanie przed ponownym uruchomieniem.

Szukam solidnego podejścia do identyfikacji tych atakujących, gdy witryna jest obsługiwana. Czy istnieje programowy sposób dodawania reguł do IIS po zidentyfikowaniu adresu IP lub lepszy sposób blokowania tych żądań?

Wszelkie pomysły lub rozwiązania dotyczące identyfikacji i blokowania tych adresów IP byłyby bardzo mile widziane. Dzięki!

Jerzy
źródło
Powiadomienie kontaktu w sprawie nadużycia związanego z adresem IP to początek. Mogą nie być świadomi, że ich IP jest źródłem.
jl.
Opowiedz mi o tym! Moja strona jest również stale atakowana. Każdego dnia bot szuka luk w zabezpieczeniach wordpress. Ciągle je blokuję za pomocą htaccess, ponieważ wydają tysiące 404!

Odpowiedzi:

11

Nie umieszczaj na czarnej liście całych krajów ani nawet dużych bloków adresów.

Rozważ konsekwencje tych działań. Nawet zablokowanie jednego adresu może zablokować łączność z witryną dla znacznej liczby użytkowników . Jest całkiem możliwe, że prawowici właściciele hostów nie wiedzą, że ich skrzynki były 0wned.

Pokazałeś ruch przychodzący „24/7” ... ale poprosiłbym cię o ocenę, czy zużycie zasobów jest naprawdę znaczące (widzę trzy trafienia na sekundę maksimum z tego fragmentu dziennika).

Sprawdź swoje opcje. Upewnij się, że twoje serwery są rzeczywiście zahartowane, przeprowadź własną ocenę podatności i przejrzyj kod witryny. Sprawdź ograniczenia prędkości dla poszczególnych źródeł , zapory sieciowe i tym podobne. Zabezpiecz swoją witrynę, zachowaj zasoby i rób to, co ma sens dla potrzeb Twojej firmy.

Mówię to jako osoba, której usługi były regularnie blokowane przez Wielką Zaporę Chińską . Jeśli Twoja witryna będzie wystarczająco dobra, może nawet zablokują użytkownikom dostęp do Ciebie !

medyna
źródło
Z całym szacunkiem, jest to skrajny przypadek, który zacytowałeś. Chyba że jego strona internetowa jest ogólnoświatowym portalem edukacyjnym, nie sądzę, aby miał on zastosowanie. Mimo że zaakceptował to jako najlepszą odpowiedź, nie poleciłbym tego osobom, które napotkają ten wątek w przyszłości.
Kopiuj Uruchom Rozpocznij
Myślę, że nadal ma zastosowanie i jest dobrą radą, ponieważ botnety są sieciami globalnymi, a tego rodzaju ataki mogą pochodzić z dowolnego adresu IP na całym świecie, nawet jeśli osoby kontrolujące botnet znajdują się w jednym kraju, ich sieci nie są. Obecnie większość dystrybucji Linuksa obejmuje moduł „iptables” „najnowszy” służący do ograniczania liczby połączeń na okres czasu w zależności od źródła. Prawdopodobnie jest coś, co apache może ograniczyć limit na źródło na podstawie liczby stron błędów HTTP, które generują.
BeowulfNode42
6

Blokuję całe kraje. Chińczycy kupili TYLKO jeden przedmiot z ponad 3000 moich stron, a mimo to stanowili 18% mojej przepustowości. Z tych 18% około 60% to boty szukające skryptów do wykorzystania.

  • aktualizacja - Po wielu latach wyłączyłem blokowanie Chin. Zostałem zalany prawdziwym ruchem niebotowym na kilku kluczowych warunkach z Baidu. Po około 400 000 odsłon w ciągu kilku tygodni dokonałem jednej sprzedaży dopiero po utworzeniu specjalnej strony w języku chińskim uproszczonym. Nie warte przepustowości. Wracam do ich blokowania.

Możesz także ustawić prostą regułę htaccess, aby przekierowywać ich do chińskiej wersji FBI za każdym razem, gdy szukają czegoś zaczynającego się od phpmyadmin bez sprawy.

V_RocKs
źródło
2

Możesz spróbować spojrzeć na snort, który jest systemem wykrywania włamań (wyszukaj go na wikipedii, ponieważ nie mogę połączyć więcej niż jednego adresu URL). Sprawdź, czy zapora sieciowa może już coś mieć. IDS skanuje ruch przychodzący i jeśli zobaczy exploita, o którym wie, może zablokować go na zaporze.

Poza tym niewiele można naprawdę zrobić. Nie zawracałbym sobie głowy powiadomieniem o nadużyciu adresu IP, ponieważ jest mało prawdopodobne, że coś z niego wyniknie, chyba że zobaczysz wiele ataków z jednego adresu IP. Jedyną inną sugestią jest aktualizowanie serwerów i aktualizowanie skryptów innych firm, abyś nie stał się ofiarą jednego z tych ataków.

vrillusions
źródło
2

Cóż, według APNIC rejestru IANA , adres IP 58.223.238.6 jest częścią bloku przypisanego China Telecom - z całego bloku jest 58.208.0.0 - 58.223.255.255. Nie jestem pewien, jak dokładnie do tego podejść. Gdybym to był ja, zablokowałbym cały zakres adresów w moich regułach i musiałbym to zrobić. Ale może to być zbyt wielka polityka wypalonej ziemi, abyś mógł się z nią czuć swobodnie.

Nie jestem administratorem sieci, więc weź to z odrobiną soli, ale możesz być w stanie stworzyć coś, co monitoruje dostęp z zestawu zakresów adresów IP (Chiny), a następnie daje im rozruch, jeśli istnieje aktywność wskazująca na próby wykorzystania.

HTH

Holocryptic
źródło
Zaatakowałem serwery i zablokowałem otaczające podsieci z Chin, aby zatrzymać ruch. Zastanawiałem się nad zrobieniem tego bardziej trwałym posunięciem, chyba że prowadzę międzynarodowe usługi wymagające komunikacji z Chinami, nie jestem pewien, jaki byłby minus.
ManiacZX,
@ManiacZX to było moje myślenie. Zabawne jest to, że wymieniony kontakt to antyspam @ firma hostingowa. Mów o ironii.
Holocryptic
@Maniac - Niestety, duża część naszej działalności znajduje się w Chinach, więc robienie wszystkiego, co blokuje duże podsieci w Chinach, byłoby prawdopodobnie złym pomysłem.
George
@George, jeśli tak jest, spojrzałbym na sprzętowe / programowe systemy IPS / IDS, aby dynamicznie wykrywać i blokować adresy IP w takim przypadku, jak sugerują Jason i vrillusions.
Holocryptic
1
Kolejną rzeczą do rozważenia, widziałem to używane po stronie poczty, jest poszukiwanie narzędzi, które zamiast ignorować lub odrzucać pakiety faktycznie zaakceptują ich żądanie, a następnie poświęć chwilę, aby odpowiedzieć. Szanse są, że ich narzędzia nie są tak dobrze napisane, więc zaczekam na twoją odpowiedź, zanim przejdziesz do następnej. Jedna pusta odpowiedź co 5 sekund jest znacznie lepsza niż 100 odrzuceń na sekundę.
ManiacZX,
2

Być może nadszedł czas, aby znaleźć dobre rozwiązanie sprzętowe. Cisco ASA z modułem IPS byłby prawie tak solidny, jak to tylko możliwe.

http://www.cisco.com/en/US/products/ps6825/index.html

Jason Berg
źródło
+1 - nie mogłem się z tobą więcej zgodzić - nie ma w piekle rzeczy, że ważne serwery produkcyjne powinny bezpośrednio wysyłać żądania - po to są zapory ogniowe i / lub równoważenia obciążenia.
Chopper3
1
Jak ASA to naprawi? W szczególności, w jaki sposób ASA zamierza to naprawić lepiej niż tylko blokuje adres IP?
devicenull
1

Urządzenia sprzętowe firmy McAfee dla przedsiębiorstw (wykup wcześniejszej serii Secure Computing Sidewinder) są wyposażone w funkcję geolokalizacji, która umożliwia stosowanie filtrów w określonych krajach lub regionach. Właściwe zrównoważenie może być trudne, jeśli masz również duży ruch z Chin.


źródło
1

Jeśli korzystasz z IIS - istnieje dobry program o nazwie IISIP z hdgreetings dot com, który aktualizuje listy bloków serwerów według adresu IP lub zakresu przy użyciu niestandardowego pliku tekstowego, a także blokuje Chiny lub Koreę całkowicie przy użyciu list aktualizacji z Okean dot com.

Częścią logiki zatrzymania tego jest to, że jeśli są one tylko blokowane - zużywa zasoby serwera do blokowania i nadal próbuje. Jeśli zostaną przekierowani do pętli - zamiast tego zużywa ich serwery. Również - jeśli są skierowane do cenzurowanych materiałów - będą z kolei cenzurowani przez własny system i być może zapobiegną powrotowi.

W przypadku problemu botów hakerów próbujących phpmyadmina itp. Moim rozwiązaniem było odczytanie moich plików dziennika i utworzenie wszystkich folderów w katalogu wwwroot, którego szukają, a następnie wstawienie do każdego z nich nazw plików php, do których próbują uzyskać dostęp. Każdy plik php następnie zawiera po prostu przekierowanie do innego miejsca - więc kiedy uzyskują do niego dostęp - wysyła je gdzie indziej. Ponieważ wszystkie moje strony używają nagłówków hosta - w ogóle ich to nie dotyczy. Wyszukiwarka Google dostarczy informacji o tym, jak napisać bardzo prosty skrypt php do przekierowania. W moim przypadku wysyłam je albo do projektu honeypot, albo do skryptu, który generuje nieskończone śmieciowe wiadomości e-mail na wypadek, gdyby się zbierały. Inną alternatywą jest przekierowanie ich z powrotem do własnego adresu IP lub do czegoś, co sami ocenzurują.

Dla chińskich botów hakerów słownika ftp korzystających z IIS istnieje ładny skrypt o nazwie banftpips, który automatycznie doda adres IP osoby atakującej do listy banów przy nieudanych próbach. Rozpoczęcie pracy jest nieco trudne, ale działa wyjątkowo dobrze. Najlepszym sposobem, aby działał, jest użycie wielu kopii skryptu przy użyciu najpierw wypróbowanej nazwy, ponieważ skrypt akceptuje tylko jedną nazwę, a nie tablicę. Przykład: administrator, administrator, abby itp. Google może go również znaleźć.

Te rozwiązania działają na IIS5 Win2K i prawdopodobnie także na nowszych IIS.

Larry
źródło
0

Zainstaluj Zaporę serwera konfiguracji (CSF) i ustaw zabezpieczenia tak, aby blokowały każdego, kto młotkuje.

Działamy na WSZYSTKICH naszych serwerach.

VisBits
źródło
0

Przede wszystkim upewnij się, że wszystko jest aktualne. Ukryj usługi takie jak (!!!) phpmyadmin (!!!) . Byłoby również dobrym pomysłem zrobić whois na tych adresach IP i zgłosić tę aktywność na ich adres e-mail nadużycia. Ale to prawdopodobnie rząd chiński, więc po prostu dasz im coś do śmiechu. Oto informacje o zgłaszaniu problemu do FBI.

W rzeczywistości musisz wziąć sprawy w swoje ręce. Musisz przetestować swój serwer pod kątem podatności, zanim je znajdzie.

Testowanie aplikacji internetowych:

  1. NTOSpier ($$$) - Bardzo dobra, i jest to prawdopodobnie lepsza technologia niż oni.
  2. Acunetix ($) - Dobrze, ale nie świetnie. Znajdzie problemy.
  3. Wapiti i w3af (open source), powinieneś uruchomić oba z nich. Powinieneś uruchomić każdy dostępny moduł ataku w3af. Nawet jeśli używasz acuentix lub ntospider, powinieneś nadal uruchamiać w3af, istnieje szansa, że ​​znajdzie więcej problemów.

Testowanie usług sieciowych:

  1. Uruchom OpenVAS ze WSZYSTKIMMI wtyczkami.

  2. Uruchom NMAP z pełnym skanem TCP / UDP. Zapora sieciowa wyłącza wszystko, czego nie potrzebujesz.

Jeśli nie możesz rozwiązać któregoś z problemów, powiedz profesjonalistom.

Wieża
źródło
0

„Nie umieszczaj na czarnej liście całych krajów ani nawet dużych bloków adresów. Rozważ konsekwencje tych działań. Nawet zablokowanie jednego adresu może zablokować łączność z Twoją witryną dla znacznej liczby użytkowników. Całkowicie możliwe są prawowici właściciele hostów nie wiem, czy ich skrzynki zostały oznaczone jako 0 ”.

Myślę, że zależy to całkowicie od rodzaju strony internetowej i zamierzonych odbiorców, niezależnie od tego, czy mądrze jest blokować całe kraje. Jasne, prawowity właściciel hosta w Szanghaju może nie wiedzieć, że jego komputer bada witrynę należącą do Twojej firmy. Załóżmy jednak, że Twoja firma ma lokalnych odbiorców, lub załóżmy, że strona internetowa jest portalem Outlook Web Access dla Twoich pracowników - czy jest to problem z blokowaniem witryny dla użytkowników z Szanghaju?

Oczywiście neutralność sieci jest dobrą rzeczą, ale nie wszystkie witryny muszą koniecznie służyć globalnej publiczności, a jeśli możesz zapobiec problemom, blokując dostęp z krajów, które nie zapewniają wiarygodnych odwiedzających witryny - dlaczego tego nie zrobić?


źródło
0

Powiadomienie o nadużyciu w Chinach jest niemożliwe.

Często nie będą reagować, te adresy e-mail nadużycia nawet nie istnieją.

Blokuję wszystkie chińskie adresy IP, a przynajmniej je bramę i ograniczam ich dostęp do minimum.

Daniel W.
źródło
Witamy w usłudze Server Fault. To jest strona pytań i odpowiedzi, a nie forum dyskusyjne, więc odpowiedzi powinny faktycznie odpowiedzieć na pytanie . Gdy będziesz mieć wystarczająco dobrą reputację na stronie, będziesz mógł dodawać komentarze do innych pytań i odpowiedzi .
Michael Hampton