Китайские хакерские боты пытаются использовать наши системы 24/7

Наши сайты постоянно подвергаются атакам со стороны ботов с IP-адресами, которые переправляются в Китай, пытаясь использовать наши системы. Хотя их атаки оказываются неудачными, они постоянно истощают ресурсы наших серверов. Пример атаки будет выглядеть так:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Они буквально бьют по нашим серверам 24/7 несколько раз в секунду, пытаясь найти эксплойт. IP-адреса всегда разные, поэтому добавление правил в брандмауэр для этих атак служит лишь кратковременным решением до их повторного запуска.

Я ищу надежный подход к идентификации этих злоумышленников, когда сайт обслуживается. Существует ли программный способ добавления правил в IIS после определения IP-адреса или лучший способ блокировать эти запросы?

Любые идеи или решения для идентификации и блокировки этих IP-адресов будут приветствоваться. Благодарность!

Пожалуйста, не помещайте в черный список целые страны или даже большие адресные блоки.

Рассмотрим последствия этих действий. Даже блокировка одного адреса может заблокировать подключение к вашему сайту для значительного числа пользователей . Вполне возможно, что законные владельцы хостов не знают, что их коробки были 0wned.

Вы показывали трафик, приходящий "24/7" ... но я бы попросил вас оценить, действительно ли истощены ваши ресурсы (я вижу три хита в секунду максимум из этого фрагмента журнала).

Изучите ваши варианты. Убедитесь, что ваши серверы действительно защищены, проведите собственную оценку уязвимости и проверьте код своего сайта. Посмотрите на ограничители скорости для каждого источника , брандмауэры веб-приложений и тому подобное. Защитите свой сайт, сохраните свои ресурсы и делайте то, что имеет смысл для нужд вашего бизнеса.

Я говорю это как кто-то, чьи сервисы регулярно блокировались Великим брандмауэром Китая . Если ваш сайт окажется достаточно хорошим, возможно, они даже заблокируют доступ пользователей к вам !

Я блокирую целые страны. Китайцы приобрели ТОЛЬКО один предмет из более чем 3000 моих сайтов, но на них приходилось 18% моей пропускной способности. Из этих 18% около 60% были боты, ищущие сценарии для использования.

• Обновление - Через много лет я отключил блокировку Китая. На нескольких ключевых терминах Baidu меня залил реальный не бот-трафик. После примерно 400 000 просмотров за неделю я сделал одну продажу только после того, как создал специальную страницу на упрощенном китайском. Не стоит пропускной способности. Я собираюсь вернуться к их блокированию.

Вы также можете установить простое правило htaccess, чтобы перенаправлять их на китайскую версию ФБР каждый раз, когда они ищут что-то, начинающееся с phpmyadmin без регистра.

Вы можете попробовать посмотреть на snort - систему обнаружения вторжений (ищите ее в википедии, так как я не могу связать более одного URL). Проверьте, что ваш брандмауэр уже может что-то иметь. IDS сканирует входящий трафик, и если он обнаруживает эксплойт, о котором он знает, он может заблокировать его на брандмауэре.

Кроме того, вы мало что можете сделать. Я бы не стал уведомлять о злоупотреблении контактом по IP-адресу, поскольку вряд ли что-то из этого получится, если вы не увидите много атак с одного IP-адреса. Лишь другое предложение - обновлять ваши серверы и любые сторонние скрипты, которые вы используете, чтобы вы не стали жертвой одной из этих атак.

Что ж, согласно реестру apnic в iana , IP-адрес 58.223.238.6 является частью блока, назначенного China Telecom - со всем блоком 58.208.0.0 - 58.223.255.255. Я не уверен, как именно вы хотите приблизиться к этому. Если бы это был я, я бы заблокировал весь диапазон адресов в моих правилах и покончил бы с этим. Но это может быть слишком большой политикой выжженной земли, чтобы вам было удобно.

Я не веб-администратор, поэтому возьмите это с собой, но вы можете создать что-то, что контролирует доступ с набора диапазонов IP-адресов (Китай), а затем дает им загрузку, если есть активность, которая указывает на попытки эксплуатации.

НТН

Может быть, пришло время изучить хорошее аппаратное решение. Cisco ASA с модулем IPS будет примерно настолько же надежна, насколько это возможно.

http://www.cisco.com/en/US/products/ps6825/index.html

Корпоративные аппаратные средства McAfee (выкуп предыдущей серии Secure Computing Sidewinder) имеют функцию геолокации, которая позволяет применять фильтры к конкретным странам или регионам. Может быть сложно получить правильный баланс, хотя, если у вас также есть много законного трафика из Китая.

Если вы используете IIS - есть хорошая программа под названием IISIP от hdgreetings dot com, которая будет обновлять списки блокировки вашего сервера по IP или диапазону, используя пользовательский текстовый файл, а также полностью блокировать Китай или Корею, используя списки обновлений из Okean dot com.

Часть логики в остановке заключается в том, что если они блокируются - он потребляет ресурсы сервера для блокировки, и они продолжают попытки. Если они перенаправлены в цикл - он использует их серверы. Также - если они направлены на материалы, подвергаемые цензуре, - они, в свою очередь, будут подвергаться цензуре по собственной системе и, возможно, не смогут вернуться.

Для решения проблемы хакерских ботов, пытающихся использовать phpmyadmin и т. Д., Я решил прочитать мои файлы журналов и сделать все папки в wwwroot, которые они ищут, затем добавить в каждую из них имена файлов php, к которым они пытаются получить доступ. Каждый php-файл просто содержит перенаправление в другое место - поэтому, когда они получают к нему доступ, он отправляет их в другое место. Поскольку все мои сети используют заголовки хоста - это никак не влияет на них. Поиск в Google предоставит информацию о том, как написать очень простой PHP-скрипт для перенаправления. В моем случае я отправляю их либо в проект honeypot, либо в сценарий, который генерирует бесконечные ненужные электронные письма в случае их сбора. Другая альтернатива - перенаправить их обратно на собственный ip или на то, что они сами будут подвергать цензуре.

Для китайских хакерских ботов из ftp-словаря, использующих IIS, есть хороший скрипт под названием banftpips, который автоматически добавит IP-адрес злоумышленников в список банов при неудачных попытках. Это немного сложно получить работу, но работает исключительно хорошо. Лучший способ заставить его работать - это использовать несколько копий сценария, используя имя, которое было впервые опробовано, поскольку сценарий принимает только одно имя, а не массив. Пример: администратор, администратор, Эбби и т. Д. Его также можно найти в Google.

Эти решения работают на IIS5 Win2K и, возможно, также на более новых IIS.

Установите Config Server Firewall (CSF) и настройте безопасность, чтобы заблокировать любой, который забивает.

Мы запускаем его на ВСЕХ наших серверов.

Прежде всего убедитесь, что все в курсе. Скрыть службы, такие как (!!!) phpmyadmin (!!!) . Также было бы неплохо сделать whois на этих IP-адресах и сообщить об этом действии на их адрес электронной почты. Но это, вероятно, правительство Китая, так что вы просто дадите им над чем посмеяться. Вот информация о том, как сообщить о проблеме в ФБР.

Во всей реальности вам нужно взять дело в свои руки. Вам нужно проверить свой сервер на наличие уязвимостей, прежде чем они найдут его.

Тестирование веб-приложения:

1. NTOSpier ($$$) - очень хорошо, и это, вероятно, лучшая технология, чем они имеют.
2. Acunetix ($) - хорошо, но не отлично. Это найдет проблемы.
3. Wapiti и w3af (с открытым исходным кодом), вы должны запустить их обоих. Вы должны запустить каждый доступный модуль атаки w3af. Даже если вы используете acuentix или ntospider, вы все равно должны запустить w3af, есть вероятность, что он найдет больше проблем.

Тестирование сетевых сервисов:

1. Запустите OpenVAS со ВСЕМИ плагинами.

2. Запустите NMAP с полным сканированием TCP / UDP. Брандмауэр все, что вам не нужно.

Если вы не можете решить ни одну из проблем, обратитесь к профессионалу.

«Пожалуйста, не вносите в черный список целые страны или даже большие адресные блоки. Примите во внимание последствия этих действий. Даже блокировка одного адреса может заблокировать подключение к вашему сайту для значительного числа пользователей. Это вполне возможно законными владельцами хостов». Я не знаю, их ящики были помечены ".

Я думаю, что это полностью зависит от типа веб-сайта и предполагаемой аудитории, разумно ли блокировать целые страны. Конечно, законный владелец хоста в Шанхае может не знать, что его компьютер проверяет веб-сайт, принадлежащий вашей компании. Но предположим, что ваша компания имеет локальную аудиторию, или предположим, что веб-сайт является порталом Outlook Web Access для ваших сотрудников - это проблема блокировки веб-сайта для пользователей из Шанхая?

Конечно, сетевой нейтралитет - это хорошо, но не все веб-сайты обязательно должны обслуживать глобальную аудиторию, и если вы можете предотвратить проблемы, блокируя доступ из стран, которые не предоставляют законных посетителей веб-сайтов - почему бы не сделать это?

Информировать о злоупотреблении контакт в китае невозможно.

Они не будут реагировать, часто, эти адреса электронной почты злоупотребления даже не существуют.

Я блокирую все китайские IP-адреса или, по крайней мере, блокирую их и ограничиваю их доступ до минимума.