Китайські хакер-боти намагаються експлуатувати наші системи 24/7

Наші веб-сайти постійно піддаються атаці ботів з IP-адресами, які вирішуються в Китаї, намагаючись використовувати наші системи. Незважаючи на те, що їхні атаки виявляються невдалими, вони є постійним стоком ресурсів наших серверів. Зразок атак виглядав би таким:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Вони буквально б’ють на наші сервери цілодобово, кілька разів на секунду, шукаючи подвигу. IP-адреси завжди різні, тому додавання правил до брандмауера для цих атак служить лише короткочасними рішеннями, перш ніж вони запускаються знову.

Я шукаю ґрунтовний підхід до виявлення цих зловмисників, коли веб-сайт подається. Чи є програмний спосіб додавання правил до IIS при визначенні IP-адреси або кращому способі блокування цих запитів?

Будь-які ідеї чи рішення щодо ідентифікації та блокування цих IP-адрес були б дуже вітаються. Спасибі!

Будь ласка, не вкладайте у чорний список цілі країни чи навіть великі блоки адрес.

Розглянемо наслідки цих дій. Навіть блокування однієї адреси може заблокувати підключення до вашого сайту для значної кількості користувачів . Цілком можливо, що законні господарі господарів не знають, чи були їхні ящики 0wned.

Ви показували трафік, який надходить "24/7" ... але я б просив вас оцінити, чи справді витрата ваших ресурсів є значним (я бачу три хіти в секунду максимуму з цього фрагмента журналу).

Вивчіть свої варіанти. Переконайтесь, що ваші сервери справді загартовані, проведіть власну оцінку вразливості та перегляньте код свого веб-сайту. Перегляньте обмежувачі швидкості на джерело , брандмауери веб-додатків тощо. Захистіть свій сайт, збережіть свої ресурси та робіть те, що має сенс для ваших потреб бізнесу.

Я говорю це як хтось, чиї послуги регулярно блокували Великий Брандмауер Китаю . Якщо ваш сайт виявиться досить хорошим, можливо, він навіть заблокує своїх користувачів, щоб потрапити до вас !

Я блокую цілі країни. Китайці ТОЛЬКО придбали один предмет з більш ніж 3000 моїх сайтів, але вони використовували 18% моєї пропускної здатності. З них 18% близько 60% це були боти, які шукали сценарії для експлуатації.

• оновлення - Через багато років я вимкнув блокування Китаю. На кількох ключових умовах від Baidu мене заполонив справжній неробочий трафік. Після приблизно 400 000 звернень за тиждень я здійснив один продаж лише після того, як створив спеціальну сторінку спрощеною китайською мовою. Не варто пропускної здатності. Я повертаюся до їх блокування.

Ви також можете встановити просте правило htaccess, щоб перенаправляти їх на китайську версію ФБР кожного разу, коли вони шукають що-небудь, починаючи з phpmyadmin, без справ.

Ви можете спробувати заглянути у фронт, який є системою виявлення вторгнень (шукайте його у Вікіпедії, оскільки я не можу зв’язати більше ніж один URL). Переконайтеся, що у вашого брандмауера вже є щось. IDS сканує вхідний трафік, і якщо він бачить експлойт, він знає про нього, може заблокувати його на брандмауері.

Окрім цього, не дуже багато можна реально зробити. Я б не переймався, повідомляючи про зловживання контактом ip адреси, оскільки навряд чи з цього вийде щось, якщо ви не побачите безліч атак з однієї ip адреси. Лише інша пропозиція - це оновлювати ваші сервери та будь-які сторонні сценарії, якими ви користуєтесь, щоб ви не стали жертвою однієї з цих атак.

Ну, в відповідно до АПНІК реєстру IANA , то IP адреса 58.223.238.6 є частиною блоку , призначеним China Telecom - з усім блоком є 58.208.0.0 - 58.223.255.255. Я не впевнений, як саме ви хочете підійти до цього. Якби це я, я б заблокував весь діапазон адрес у своїх правилах і був би виконаний з ним. Але це може бути занадто багато випаленої земної політики, щоб вам було комфортно.

Я не веб-адміністратор, тому візьміть це з зерном солі, але ви, можливо, зможете створити щось, що відстежує доступ із набору діапазонів IP (Китай), а потім дає їм завантаження, якщо є діяльність, яка вказує на спроби експлуатації.

HTH

Можливо, час розглянути гарне апаратне рішення. Cisco ASA з IPS-модулем був би приблизно настільки ж близьким до твердої породи, як ви збираєтеся отримати.

http://www.cisco.com/en/US/products/ps6825/index.html

McAfee Enterprise Hardware прилади (викуп колишньої серії Secure Computing Sidewinder) має функцію геолокації, яка дозволяє застосовувати фільтри до певних країн чи регіонів. Виправити баланс може бути складним, хоча якщо у вас є багато законного трафіку і з Китаю.

Якщо ви використовуєте IIS - є хороша програма під назвою IISIP від ​​hdgreetings dot com, яка оновлюватиме списки блоків вашого сервера за IP або Range, використовуючи користувальницький текстовий файл, а також блокує Китай чи Корею повністю, використовуючи списки оновлень з Okean dot com.

Частина логіки в зупиненні цього полягає в тому, що якщо вони лише заблоковані - він витрачає ресурси сервера для блокування, і вони продовжують намагатися. Якщо їх перенаправляють на цикл - він замість цього споживає їх сервери. Також - якщо вони будуть спрямовані на цензурні матеріали - вони, в свою чергу, будуть цензуровані за власною системою і, можливо, не зможуть повернутися.

Для проблеми хакерських ботів, які намагаються phpmyadmin і т. Д., Моє рішення полягало в тому, щоб прочитати мої файли журналів і зробити всі папки в wwwroot, які вони шукають, а потім помістити в кожну ім’я файлів php, до яких вони намагаються отримати доступ. Кожен PHP-файл просто містить переспрямування на якесь інше місце - тому коли вони отримують доступ до нього - він надсилає їх в інше місце. Оскільки всі мої веб-сайти використовують заголовки хостів - це на них зовсім не впливає. Пошук у Google надасть інформацію про те, як написати дуже простий скрипт для перенаправлення php. У моєму випадку я надсилаю їх або до медового проекту, або надсилаю їх до сценарію, який генерує нескінченні небажані електронні листи на випадок, коли вони збирають урожай. Інша альтернатива - перенаправити їх назад на власний ip або на те, що вони самі цензурують.

Для хакерських ботів China FTP-словника, що використовують IIS, є приємний скрипт під назвою banftpips, який автоматично додасть IP-адресу зловмисників до списку заборон при невдалих спробах. Трохи складно працювати, але це працює виключно добре. Найкращий спосіб змусити його працювати - це використовувати декілька копій сценарію, використовуючи спершу спробуване ім'я, оскільки сценарій, здається, приймає лише одне ім'я, а не масив. Приклад: адміністратор, адміністратор, abby тощо. Його можна знайти і google.

Ці рішення працюють і на IIS5 Win2K, і, ймовірно, також на новіших IIS.

Встановіть брандмауер сервера Config Server (CSF) і встановіть безпеку для блокування будь-якого, що забиває.

Ми запускаємо його на ВСІХ наших серверах.

В першу чергу переконайтесь, що все актуально. Сховати такі послуги, як (!!!) phpmyadmin (!!!) . Було б також гарною ідеєю зробити whois за цими IP-адресами та повідомити про цю діяльність на свою електронну адресу зловживань. Але це, мабуть, китайський уряд, тож ви просто дасте їм над чим посміятися. Ось інформація про повідомлення про це у ФБР.

Насправді вам потрібно взяти справи у свої руки. Потрібно протестувати свій сервер на наявність уразливості, перш ніж вони знайдуть його.

Тестування веб-додатків:

1. NTOSpier ($$$) - Дуже добре, і це, мабуть, краща технологія, ніж у них.
2. Acunetix ($) - добре, але не чудово. Це знайде проблеми.
3. Wapiti та w3af (відкритий код), ви повинні запустити їх обох. Вам слід запустити кожен доступний модуль атаки w3af. Навіть якщо ви переходите на acuentix або ntospider, вам все одно слід запустити w3af, є ймовірність, що він знайде більше проблем.

Тестування мережевих послуг:

1. Запустіть OpenVAS з усіма плагінами.

2. Запустіть NMAP з повним скануванням TCP / UDP. Брандмауер все, що вам не потрібно.

Якщо ви не зможете виправити жодну з проблем, вищі професіонали.

"Будь ласка, не вкладайте в чорний список цілі країни чи навіть великі блоки адрес. Враховуйте наслідки цих дій. Навіть блокування однієї адреси може заблокувати підключення до вашого сайту для значної кількості користувачів. Це цілком можливо законних власників хостів не знаю, що їх коробки були 0 "."

Я думаю, що це повністю залежить від типу веб-сайту та призначеної аудиторії, мудро чи блокувати цілі країни чи ні. Звичайно, законний власник хоста в Шанхаї може не знати, що його комп'ютер перевіряє веб-сайт, що належить вашій компанії. Але припустимо, що у вашої компанії є місцева аудиторія, або припустімо, що веб-сайт - це портал Outlook Web Access для ваших співробітників - це проблема з блокуванням веб-сайту для користувачів із Шанхаю?

Звичайно, нейтралітет мережі - це добре, але не всі веб-сайти обов'язково повинні обслуговувати глобальну аудиторію, і якщо ви можете запобігти проблемам, заблокувавши доступ з країн, які не надають законних відвідувачів веб-сайту - чому б не зробити цього?

Повідомляти контакт про зловживання в Китаї неможливо.

Вони не реагують, часто таких електронних адрес зловживань навіть не існує.

Я блокую всі китайські IP-адреси, або, принаймні, воротаю їх і обмежую їх доступ до мінімуму.