W jaki sposób te „złe boty” znajdują mój zamknięty serwer?

8

Zainstalowałem Apache jakiś czas temu i szybki rzut oka na mój access.log pokazuje, że łączą się różnego rodzaju nieznane adresy IP, głównie o kodzie stanu 403, 404, 400, 408. Nie mam pojęcia, jak się znajdują mój adres IP, ponieważ używam go tylko do użytku osobistego i dodałem plik robots.txt, mając nadzieję, że powstrzyma to wyszukiwarki. Blokuję indeksy i nie ma w tym nic naprawdę ważnego.

W jaki sposób te boty (lub ludzie) znajdują serwer? Czy to się często zdarza? Czy te połączenia są niebezpieczne / co mogę z tym zrobić?

Ponadto wiele adresów IP pochodzi z różnych krajów i nie rozpoznaje nazwy hosta.

Oto kilka przykładów tego, co się dzieje:

w jednym dużym ruchu ten bot próbował znaleźć phpmyadmina:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

dostaję ich dużo:

"HEAD / HTTP/1.0" 403 - "-" "-"

dużo „proxyheader.php”, dostaję całkiem sporo żądań z linkami http: // w GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"POŁĄCZYĆ"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

„soapCaller.bs”

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

i to naprawdę szkicowe bzdury sześciokątne ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

pusty

"-" 408 - "-" "-"

To tylko sedno tego. Dostaję różnego rodzaju śmieci, nawet z klientami Win95.

Dzięki.

bryc
źródło

Odpowiedzi:

13

Witamy w Internecie :)

  • Jak cię znaleźli: Szanse są, brute force Skanowanie IP. Podobnie jak ich ciągły strumień skanowania podatności na hoście po znalezieniu.
  • Aby zapobiec w przyszłości: Chociaż nie da się tego całkowicie uniknąć, możesz zablokować narzędzia bezpieczeństwa, takie jak Fail2Ban na Apache lub limity prędkości - lub ręcznie zablokować - lub skonfigurować listy ACL
  • Bardzo często można to zobaczyć na dowolnym dostępnym z zewnątrz sprzęcie, który reaguje na wspólne porty
  • Jest to niebezpieczne tylko wtedy, gdy masz niepakowane wersje oprogramowania na hoście, które mogą być podatne na atak. To tylko ślepe próby sprawdzenia, czy masz coś „fajnego” dla tych dzieciaków, z którymi można majstrować. Pomyśl o tym, jak ktoś spacerujący po parkingu, próbujący otworzyć drzwi samochodu, aby sprawdzić, czy są one odblokowane, upewnij się, że twoje są, i są szanse, że zostawi twoje w spokoju.
cienki lód
źródło
2
Jednym ze sposobów zmniejszenia powierzchni ataku do zautomatyzowanych skanów jest uruchomienie serwera WWW na niestandardowym porcie. Jeśli korzystasz z serwera tylko do użytku osobistego, są szanse, że będzie to do przyjęcia. Nie zrobi to jednak żadnej ochrony przed atakami ukierunkowanymi na twój system. Dobrym pomysłem jest również skonfigurowanie zapory ogniowej, aby wprowadzić system w „tryb ukrycia” blokujący dostęp do niepożądanych usług. Obejmuje to blokowanie żądań echa ICMP itp.
Per von Zweigbergk
1

To tylko ludzie próbujący znaleźć luki w zabezpieczeniach serwerów. Niemal na pewno zrobione przez skompromitowane maszyny.

Będą to ludzie skanujący określone zakresy adresów IP - z phpMyAdmina widać, że próbuje znaleźć źle zabezpieczoną wersję PMA przed instalacją. Po znalezieniu może uzyskać zaskakujący dostęp do systemu.

Upewnij się, że Twój system jest aktualny i nie masz żadnych usług, które nie są wymagane.

Martin Alderson
źródło
Również plik robots.txt może prowadzić do ukierunkowanych ataków. Jeśli masz coś, czego ludzie nie chcą widzieć, nie reklamuj tego w pliku robots.txt ... chroń to za pomocą list ACL i dostępu uwierzytelnionego.
Red Tux,
1

Są to roboty skanujące w poszukiwaniu znanych zagrożeń bezpieczeństwa. Po prostu skanują całe zakresy sieci, dzięki czemu znajdą nieadaptowane serwery, takie jak twój. Nie grają dobrze i nie dbają o twój plik robots.txt. Jeśli znajdą lukę, albo ją zarejestrują (i wkrótce można spodziewać się ręcznego ataku), albo automatycznie zainfekują komputer rootkitem lub podobnym złośliwym oprogramowaniem. Niewiele można na to poradzić, a to tylko normalny interes w Internecie. To jest powód, dla którego ważne jest, aby zawsze mieć zainstalowane najnowsze poprawki bezpieczeństwa oprogramowania.

Ingmar Hupp
źródło
1

Jak zauważyli inni, prawdopodobnie wykonują skanowanie metodą brutalnej siły. Jeśli korzystasz z dynamicznego adresu IP, istnieje większe prawdopodobieństwo, że zeskanujesz ten adres. (Poniższa rada zakłada, że ​​Linux / UNIX, ale większość może dotyczyć serwerów Windows).

Najprostszym sposobem ich zablokowania są:

  • Port 80 zapory ogniowej i zezwala tylko na ograniczony zakres adresów IP na dostęp do twojego serwera.
  • Skonfiguruj listy ACL w konfiguracji apache, która zezwala tylko niektórym adresom na dostęp do serwera. (Możesz mieć różne reguły dla różnych treści.)
  • Wymagaj uwierzytelnienia w celu uzyskania dostępu z Internetu.
  • Zmień podpis serwera, aby wykluczyć kompilację. (Niewiele zwiększone bezpieczeństwo, ale utrudnia ataki specyficzne dla wersji.
  • Zainstaluj narzędzie takie jak fail2ban, aby automatycznie blokować ich adres. Poprawne dopasowanie wzorców może zająć trochę pracy, ale jeśli błędy serii 400 są rzadkie, twój wzrok może nie być trudny.

Aby ograniczyć szkody, jakie mogą wyrządzić Twojemu systemowi, upewnij się, że proces Apache może zapisywać tylko do katalogów i plików, które powinien móc zmienić. W większości przypadków serwer potrzebuje tylko dostępu do odczytu do treści, które obsługuje.

BillThor
źródło
0

Internet jest przestrzenią publiczną, stąd termin public ip. Nie możesz się ukryć, chyba że ustawisz sposób odmawiania publicznego (VPN, acl na zaporze ogniowej, bezpośredni dostęp itp.). Te połączenia są niebezpieczne, ponieważ w końcu ktoś będzie cię szybciej wykorzystywał niż łatanie. Rozważę jakieś uwierzytelnienie przed udzieleniem odpowiedzi.

Jim B.
źródło