目前正在寻找坐落在AWS ELB后面的小型清漆/ nginxnetworking服务器组。
最近主域的监控把大量命中到不存在的子域地址。
在进一步检查清漆日志时,它揭示了一些IP运行的python代理,试图通过没有单词列表来增量地强行加载子域。
Atm它没有超过4个字符,即。 aaaa.primarydomain.com和。 目前在fau9.primarydomain.com
404的速度和服务造成了一个小的麻烦,所以在设置了一定的门槛和阻断之后,以及联系滥用的部门进行检测。 到目前为止,大约有10个IP都是通过btcentralplus.com进来的,后来被封锁了。 它似乎来自一个业余的僵尸networking,对IP的调查揭示了与英国家庭和小型商业networking的一致性。
更重要的是动机,对于这样的攻击我感到目瞪口呆。 对于初学者来说,没有什么可以通过这个获得,即使有明显的迹象,试图增加域名列表的力量似乎超越了愚蠢? 这不是绝对的威慑。
我们提出的唯一build议是脚本 – 小孩失败,一个奇怪的蠕虫试图上帝知道什么或某种假的stream量生成? btcentralplus是唯一的常见variables,似乎在处理滥用投诉方面毫无用处。 如果他们试图在Web服务器日志中抽出反向DNS条目,例如可能会公开的? 但即使如此,似乎离奇。
他们正在做一些非常简单的信息收集。 寻找任何有趣的子域名,你可能会开放玩,或可能会泄露有助于您的主要网站的信息。
出于这个原因,将内部或私有域名放在防火墙或VPN后面是一个不错的主意,这样他们就不能在外部访问和/或将它们放在单独的顶级域名(TLD)上,这样临时扫描程序就无法find并关联它们与您的域名/公司。
例如; 您可以使用git.example.net或git.example-int.com来代替使用git.example.com。 这只是第一层的基本安全模式,但是它减less了像这样的简单扫描。
如果这是一个全新的或最近的ELB,那么他们可能并不意味着要扫描您,而是针对其他人,但caching了DNS条目。 你会碰巧inheritance了他们caching的IP。