服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 中国黑客机器人试图利用我们的系统24/7
Intereting Posts
iptables多个源IP Backup Exec 2010中的重复数据删除选项 – 是否像这样工作? 我可以使用mod_alias的“Redirect”来使用Apachevariables,而不是使用mod_rewrite吗? 根由ARD控制 调制解调器的问题 – PPPoE和PPPoA 使用代理转发function时,首次自动接受SSH指纹? 可以使用一个群集IIS-WAS进行TCP / IP群集,或者仅使用HTTP Azure AD连接DNSvalidation错误 密码使用系统密码保护apache用户目录 SpamAssassin回来零分 从apache2转移到lighttpd 如何设置Asterisk的当前工作目录? 在什么情况下,Windows Azure网站会更改IP地址? 重复使用RAID 5驱动器? Apache不工作在端口8082

中国黑客机器人试图利用我们的系统24/7

我们的网站经常受到来自中国IP地址的机器人的攻击,试图利用我们的系统。 虽然他们的攻击certificate是不成功的,但是他们却是我们服务器资源的不断stream失。 这些攻击的例子看起来如此: 

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

他们每天24小时多次点击我们的服务器,寻找漏洞。 IP地址通常是不同的,因此,在防火墙上添加规则以防止这些攻击只能在重新启动之前作为短期解决scheme。

我正在寻找一种可靠的方法来识别这些攻击者在网站服务。 有没有一种程序化的方式来识别IP地址或更好的方法来阻止这些请求添加规则到IIS?

任何想法或解决scheme来识别和阻止这些IP地址将非常受欢迎。 谢谢!

请不要黑名单整个国家 ,甚至大地址块。

考虑这些行动的影响。 即使阻止单个地址也可能阻止大量用户与您的网站build立连接 。 主机的合法拥有者完全有可能不知道他们的盒子已经被0wned

你确实显示“24/7”的stream量……但是我会要求你评估你的资源是否真的很重要(我从这个日志片断中看到三秒钟最多)。

调查你的select。 确保你的服务器确实硬化,进行自己的漏洞评估和审查你的站点代码。 查看每个源码限速器 , Web应用程序防火墙等。 保护您的网站,保护您的资源,并做您的业务需求的意义。

我说这个服务曾经被中国防火墙定期封锁。 如果你的网站足够好, 也许他们甚至会阻止他们的用户到达你 !

我封锁了整个国家。 中国人只从我的网站上购买了3000多个单一的产品,但他们以前占我的带宽的18%。 在这18%中,有大约60%是机器人寻找脚本来利用。

  • 更新 – 多年后,我closures了阻止中国。 百度的一些关键词汇充斥着真正的非机器人stream量。 在一个星期的时间里点击了大约40万次之后,我只用简体中文创build了一个特殊的页面后才做了一次销售。 不值得带宽。 我正在回头阻止他们。

你也可以设置一个简单的htaccess规则,将它们redirect到中文版的FBI,每次查找任何以phpmyadmin开头而没有大小写的情况。

你可以试试snort这是一个入侵检测系统(在维基百科上search它,因为我不能链接多个url)。 检查你的防火墙可能已经有东西了。 IDS扫描传入的stream量,如果它看到一个利用它知道它可以阻止它在防火墙上。

除此之外,你可以做的不多。 我不会打扰通知的IP地址的滥用联系,因为它不太可能会有什么结果,除非你看到很多单一的IP地址的攻击。 只有其他的build议是保持你的服务器是最新的,你使用的任何第三方脚本是最新的,所以你不会成为这些攻击的受害者之一。

那么根据iana的apnicregistry,IP地址58.223.238.6是中国电信的一个区块的一部分 – 整个区块是58.208.0.0 – 58.223.255.255。 我不确定你想如何接近它。 如果是我,我会阻止我的规则中的整个地址范围,并完成它。 但是,这可能是一个太焦土政策,让你感到舒适。

我不是一个networkingpipe理员,所以拿一点盐来做这个,但是你也许可以制作一些监视一系列IP范围(中国)访问的东西,然后给他们启动,如果有活动指向开拓尝试。

HTH

可能是时候考虑一​​个好的硬件解决scheme。 具有IPS模块的思科ASA将尽可能地坚如磐石。

http://www.cisco.com/en/US/products/ps6825/index.html

迈克菲企业硬件设备(购买前安全计算响尾蛇系列)具有地理位置function,可让您将filter应用于特定的国家或地区。 如果你也有很多合法的来自中国的stream量,那么获得平衡可能是非常棘手的。

如果你正在使用IIS,那么有一个很好的从hdgreetings点com调用的IISIP程序,它将使用自定义文本文件通过IP或者Range来更新你的服务器阻止列表,或者使用Okeannetworking公司的更新列表阻止中国或者韩国。

停止这一部分的逻辑是,如果他们只是被阻止 – 它消耗服务器资源来阻止,他们不断尝试。 如果他们被redirect到一个循环 – 它会消耗他们的服务器。 而且,如果他们被引导到被审查的材料,他们将被自己的系统审查,并可能阻止返回。

对于黑客机器人尝试phpmyadmin等问题,我的解决scheme是读取我的日志文件,并使他们正在寻找的wwwroot中的所有文件夹,然后在每个他们尝试访问的PHP文件名称。 每个php文件都只包含一个redirect到其他地方,所以当他们访问它时,它会把它们发送到其他地方。 因为我的网站都使用主机头 – 它根本不影响他们。 谷歌查找将提供如何编写一个非常简单的PHP脚本redirect的信息。 在我的情况下,我把它们发送到蜜jar项目,或者把它们发送到脚本中,以便在收集的时候生成无限的垃圾邮件。 另一种select是将他们redirect到他们自己的ip或者他们将自行审查的东西。

对于使用IIS的中国ftp字典黑客机器人来说,有一个很好的脚本叫做banftpips,它会在失败的尝试中自动将攻击者IP添加到禁止列表中。 工作起来有点棘手,但工作exception出色。 使其工作的最好方法是使用脚本的多个副本,首先尝试使用该名称,因为脚本似乎只接受一个名称而不是数组。 例如:pipe理员,pipe理员,艾比等。也可以通过谷歌find。

这些解决scheme在IIS5 Win2K上工作,也可能在新的IIS上工作。

安assembly置服务器防火墙(CSF)并设置安全性以阻止任何受到攻击的人。

我们在我们所有的服务器上运行它。

首先确保一切都是最新的。 隐藏像(!!!) phpmyadmin (!!!)这样的服务 。 在这些IP地址上执行whois并将这个活动报告给他们的滥用电子邮件地址也是一个好主意。 但它可能是中国政府,所以你只要给他们一些笑话。 这里是关于向联邦调查局报告问题的信息。

在所有的现实中,你需要把事情交给你自己。 在find漏洞之前,您需要testing您的服务器的漏洞。

Web应用程序testing:

  1. NTOSpier($$$) – 非常好,这可能是比他们更好的技术。
  2. Acunetix($) – 好,但不是很好。 它会发现问题。
  3. Wapiti和w3af(开源),你应该运行它们两个。 你应该运行每个可用的w3af攻击模块。 即使你使用acuentix或ntospider,你仍然应该运行w3af,这有可能会发现更多的问题。

networking服务testing:

  1. 使用所有插件运行OpenVAS 。

  2. 运行完整的TCP / UDP扫描NMAP 。 防火墙一切,你不需要。

如果你不能解决任何问题,那么更高的专业。

“请不要黑名单整个国家,甚至大的地址块,考虑这些行动的影响,甚至阻止一个单一的地址可能会阻止大量的用户连接到您的网站,完全有可能的主机的合法拥有者不知道他们的箱子已经被装上了。“

我认为这完全取决于网站的types和目标受众,不pipe是否阻止整个国家都是明智的。 当然,上海一位主持人的合法拥有者可能不知道他的电脑正在探查一个属于你公司的网站。 但假设你的公司有一个本地的受众,或者认为这个网站是你的员工的Outlook Web Access门户 – 这是否阻碍了来自上海用户的网站的问题?

当然,networking中立是一件好事,但并不是所有的网站都必须为全球用户提供服务,如果能够阻止来自不提供合法网站访问者的国家的访问来阻止问题,为什么不这样做呢?

通报在中国的滥用联系是不可能的。

他们不会反应,往往这些滥用电子邮件地址甚至不存在。

我阻止了所有的中国IP地址,或者至less阻止他们,并将他们的访问限制在最低限度。