Назад | Перейти на главную страницу

Черные списки IP-адресов и подозрительный входящий и исходящий трафик

Я администрирую веб-сервер, и недавно наш IP-адрес был заблокирован (!) У нашего хоста после того, как они получили электронное письмо с уведомлением о злоупотреблениях. В частности, наш сервер якобы участвует в спам-атаках по протоколу HTTP. Содержание полученного нами электронного письма с отчетом о злоупотреблениях было не очень информативным - например, IP-адреса, на которые, как предполагается, атаковал наш сервер, не включены, поэтому я начал wireshark проверка сеанса для подозрительно трафик через TCP / HTTP при попытке найти возможные дыры в безопасности в системе. (Замечу, что на машине работает ОС Debian).

Вот пример такого запроса ...

Source: 89.74.188.233
Destination: 12.34.56.78  // my ip
Protocol: HTTP
Info: GET 'http://www.media.apniworld.com/image.php?type=hv' HTTP/1.0

Я вручную занес в черный список этот хост (а также некоторые другие), заблокировав их с помощью iptables, но я не могу весь день заниматься вручную ... Я ищу автоматический способ заблокировать такие IP-адреса на основе:

  1. Статистический анализ, распознавание образов или другой анализ на основе ИИ (хотя я не склонен доверять такому решению, если оно существует)
  2. Публичные черные списки

С помощью DNSBL Я действительно узнал что 89.74.188.233 занесен в черный список. Однако другие очень подозрительные IP-адреса, например 93.199.112.126 (т.е. http://www.pornstarnetwork.com/account/signin), к сожалению, не попали в черный список! Что я хотел бы сделать, так это автоматически подключить мой брандмауэр к DNSBL (или какой-либо другой базе данных черного списка) и заблокировать весь трафик к IP-адресам из черного списка или каким-то образом автоматически обновить мой локальный черный список.

Обновление 1: Мой главный вопрос здесь заключается в настройке iptables для автоматической блокировки всех IP-адресов, занесенных в черный список в общедоступной базе данных, например вот этот. Я ищу инструмент, который будет автоматически обновлять мой локальный черный список, добавляя любые IP-адреса из черного списка и, конечно, удаляя их, как только их проблемы будут решены (было бы неплохо навсегда заблокировать IP-адрес, потому что он однажды оказался в черном списке). Я действительно не понимаю полезности веб-службы черного списка без возможности использования iptables.

Вы используете что-нибудь, что действует как HTTP-прокси на вашем компьютере? Если вы это сделаете, посмотрите на блокировку вниз. Если нет, исследуйте свою машину в целом. Если вы явно не разрешили запуск случайного кода на своем сервере, возможно, вы просматриваете взломанный компьютер.

Сначала я хотел бы убедиться, что вы случайно не стали прокси-сервером HTTP, который люди используют для пересылки почты.