Назад | Перейти на главную страницу

Китайские боты-хакеры пытаются использовать наши системы 24/7

Наши сайты постоянно подвергаются атакам ботов с IP-адресами, разрешающимися в Китай, которые пытаются использовать наши системы. Хотя их атаки оказываются безуспешными, они постоянно истощают ресурсы наших серверов. Пример атак выглядит так:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Они буквально атакуют наши серверы 24 часа в сутки, 7 дней в неделю, несколько раз в секунду, в поисках эксплойта. IP-адреса всегда разные, поэтому добавление правил к брандмауэру для этих атак служит только краткосрочным решением перед их повторным запуском.

Я ищу надежный подход к выявлению этих злоумышленников при обслуживании веб-сайта. Есть ли программный способ добавления правил в IIS при идентификации IP-адреса или лучший способ заблокировать эти запросы?

Мы будем очень приветствовать любые идеи или решения по идентификации и блокировке этих IP-адресов. Спасибо!

Пожалуйста, не заносите в черный список целые страны, или даже большие блоки адресов.

Обдумайте последствия этих действий. Даже блокировка одного адреса может заблокировать подключение к вашему сайту для значительного числа пользователей.. Вполне возможно, что законные владельцы хозяев не знают, что их коробки были 0wned.

Вы действительно показали, что трафик поступает «24/7» ... но я бы попросил вас оценить, действительно ли утечка ваших ресурсов значительна (я вижу три попадания в секунду максимум из этого фрагмента журнала).

Изучите свои варианты. Убедитесь, что ваши серверы действительно защищены, проведите собственную оценку уязвимости и проверьте код своего сайта. Смотреть в ограничители скорости для каждого источника, брандмауэры веб-приложений, и тому подобное. Защитите свой сайт, сохраните ресурсы и делайте то, что имеет смысл для вашего бизнеса.

Я говорю это как человек, услуги которого раньше регулярно блокировались Великий китайский файрвол. Если ваш сайт окажется достаточно хорошим, возможно, они даже заблокируют своих пользователей от доступа к вам!

Я блокирую целые страны. Китайцы купили ТОЛЬКО один товар на более чем 3000 моих сайтов, и все же они составляли 18% моей пропускной способности. Из этих 18% около 60% составляли боты, ищущие сценарии для использования.

  • update - Спустя много лет я отключил блокировку Китая. Я был наводнен реальным трафиком, не связанным с ботами, по нескольким ключевым словам из Baidu. После примерно 400 000 посещений в течение недели я совершил одну продажу только после того, как создал специальную страницу на упрощенном китайском. Не стоит пропускной способности. Я собираюсь снова их заблокировать.

Вы также можете настроить простое правило htaccess, чтобы перенаправлять их в китайскую версию ФБР каждый раз, когда они ищут что-либо, начиная с phpmyadmin без регистра.

Возможно, пора поискать хорошее аппаратное решение. Cisco ASA с модулем IPS будет настолько надежным, насколько это возможно.

http://www.cisco.com/en/US/products/ps6825/index.html

Что ж, согласно апник реестр ИанаIP-адрес 58.223.238.6 является частью блока, назначенного China Telecom, при этом весь блок составляет 58.208.0.0 - 58.223.255.255. Я не совсем понимаю, как вы хотите к этому подойти. Если бы это был я, я бы заблокировал весь диапазон адресов в своих правилах и покончил бы с этим. Но это может быть слишком большой политикой выжженной земли, чтобы вам было удобно.

Я не веб-администратор, поэтому отнеситесь к этому с недоверием, но вы могли бы создать что-то, что отслеживает доступ из набора диапазонов IP-адресов (Китай), а затем загружает их, если есть активность, указывающая на попытки эксплуатации.

HTH

Вы можете попробовать изучить фырканье это система обнаружения вторжений (найдите ее в Википедии, так как я не могу связать более одного URL). Убедитесь, что в вашем брандмауэре что-то уже есть. IDS сканирует входящий трафик и, если обнаруживает эксплойт, она знает о нем, и может заблокировать его на брандмауэре.

Кроме того, вы мало что можете сделать. Я бы не стал уведомлять о злоупотреблении IP-адресом, поскольку маловероятно, что это приведет к чему-либо, если только вы не увидите много атак с одного IP-адреса. Единственное другое предложение - обновлять свои серверы и любые сторонние скрипты, которые вы используете, в актуальном состоянии, чтобы вы не стали жертвой одной из этих атак.

Аппаратные средства McAfee для предприятий (выкуп бывшей серии Secure Computing Sidewinder) имеют функцию геолокации, которая позволяет применять фильтры к определенным странам или регионам. Хотя может быть сложно получить правильный баланс, если у вас также много законного трафика из Китая.

Если вы используете IIS - есть хорошая программа под названием IISIP от hdgreetings dot com, которая обновит ваши списки блокировки сервера по IP или диапазону с помощью настраиваемого текстового файла, а также полностью заблокирует Китай или Корею, используя списки обновлений от Okean dot com.

Часть логики в том, чтобы остановить это, заключается в том, что если они только заблокированы - для блокировки потребляются ресурсы сервера, и они продолжают попытки. Если они перенаправлены в цикл - вместо этого он потребляет их серверы. Кроме того, если они будут направлены на подвергнутые цензуре материалы, они, в свою очередь, будут подвергнуты цензуре своей собственной системой и, возможно, не смогут вернуться.

Для проблемы хакерских ботов, пытающихся использовать phpmyadmin и т. Д., Моим решением было прочитать мои файлы журналов и создать все папки в wwwroot, которые они ищут, а затем ввести в каждую из них имена файлов php, к которым они пытаются получить доступ. Каждый файл php тогда просто содержит перенаправление в какое-то другое место - поэтому, когда они обращаются к нему, он отправляет их в другое место. Поскольку все мои веб-сайты используют заголовки хостов - это вообще не влияет на них. Поиск в Google предоставит информацию о том, как написать очень простой скрипт php для перенаправления. В моем случае я отправляю их либо в проект приманки, либо в сценарий, который генерирует бесконечное количество нежелательных писем на случай, если они собирают данные. Другой вариант - перенаправить их обратно на их собственный IP-адрес или на то, что они будут подвергать цензуре.

Для китайских ботов-хакеров ftp, использующих IIS, есть хороший скрипт под названием banftpips, который автоматически добавляет IP-адрес злоумышленника в список запретов при неудачных попытках. Это немного сложно заставить работать, но работает исключительно хорошо. Лучший способ заставить его работать - использовать несколько копий скрипта, используя имя, которое было сначала пробовано, поскольку скрипт, кажется, принимает только одно имя, а не массив. Пример: администратор, админ, Эбби и т. Д. Его также можно найти в Google.

Эти решения работают на IIS5 Win2K и, вероятно, также и на более новых IIS.

Установите брандмауэр Config Server (CSF) и настройте безопасность так, чтобы блокировать любой, кто забивает.

Мы запускаем его на ВСЕХ наших серверах.

Прежде всего убедитесь, что все обновлено. Скрыть такие услуги, как (!!!) phpmyadmin (!!!). Также было бы неплохо сделать кто на этих IP-адресах и сообщить об этой активности на их адрес электронной почты для злоупотреблений. Но, вероятно, это китайское правительство, так что вы дадите им повод посмеяться. Вот это информация о том, как сообщить о проблеме в ФБР.

На самом деле вам нужно взять дело в свои руки. Вам необходимо протестировать свой сервер на наличие уязвимостей, прежде чем они их обнаружат.

Тестирование веб-приложений:

  1. NTOSpier ($$$) - Очень хорошо, и это, вероятно, лучшая технология, чем они есть.
  2. Acunetix ($) - Хорошо, но не отлично. Он найдет проблемы.
  3. Wapiti и w3af (с открытым исходным кодом), вы должны запустить их оба. Вы должны запустить все доступные модули атаки w3af. Даже если вы используете acuentix или ntospider, вам все равно следует запускать w3af, есть вероятность, что он обнаружит больше проблем.

Тестирование сетевых сервисов:

  1. Бегать OpenVAS со ВСЕМИ плагинами.

  2. Бегать NMAP с полным сканированием TCP / UDP. Брандмауэр отключил все, что вам не нужно.

Если вы не можете исправить ни одну из проблем, обратитесь к профессионалу.

«Пожалуйста, не заносите в черный список целые страны или даже большие блоки адресов. Учитывайте последствия этих действий. Даже блокировка одного адреса может заблокировать подключение к вашему сайту для значительного числа пользователей. Вполне возможно, что законные владельцы хостов не знаю, что их коробки закрыты ".

Я думаю, что это полностью зависит от типа веб-сайта и целевой аудитории, разумно ли блокировать целые страны. Конечно, законный владелец хоста в Шанхае может не знать, что его компьютер проверяет веб-сайт, принадлежащий вашей компании. Но предположите, что ваша компания имеет местную аудиторию, или предположите, что веб-сайт является порталом Outlook Web Access для ваших сотрудников - это проблема с блокировкой веб-сайта для пользователей из Шанхая?

Конечно, сетевой нейтралитет - это хорошо, но не все веб-сайты обязательно должны обслуживать глобальную аудиторию, и если вы можете предотвратить проблемы, заблокировав доступ из стран, которые не обеспечивают легальных посетителей веб-сайтов, почему бы не сделать это?

Сообщить о нарушении контакт в Китае невозможно.

Они не будут реагировать, часто таких злоупотреблений адресами электронной почты даже не существует.

Я блокирую все китайские IP-адреса или, по крайней мере, закрываю их и ограничиваю их доступ до минимума.