Як ці «погані боти» знаходять мого закритого веб-сервера?

Я встановив Apache деякий час тому, і швидкий погляд на мій access.log показує, що всі види невідомих IP-адрес підключаються, в основному, з кодами статусу 403, 404, 400, 408. Я не знаю, як вони знаходять мій IP, тому що я використовую його лише для особистого використання, і додав robots.txt, сподіваючись, що це не дасть пошуковим системам подалі. Я блокую індекси, і в цьому немає нічого важливого.

Як ці боти (або люди) знаходять сервер? Чи загально це трапляється? Чи небезпечні ці зв’язки / що я можу з цим зробити?

Крім того, велика частина IP-адрес надходить із різних країн, і вони не вирішують імені хоста.

Ось купа прикладів того, що відбувається через:

в одному великому розгортанні цей бот намагався знайти phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

я отримую багато цього:

"HEAD / HTTP/1.0" 403 - "-" "-"

багато "proxyheader.php", я отримую зовсім небагато запитів із http: // посиланнями в GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"ПІДКЛЮЧИТИ"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

і це справді схематичне шістнадцяткове лайно ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

порожній

"-" 408 - "-" "-"

Ось лише суть цього. Я отримую всілякі мотлохи, навіть із користувачами win95-агентів.

Дякую.

Ласкаво просимо в Інтернет :)

• Як вони вас знайшли: Швидше за все, сканування IP-адреси з грубою силою. Як і їх постійний потік сканування вразливості на вашому хості, як тільки вони його знайшли.
• Для запобігання в майбутньому: Хоча це не можна повністю уникнути, ви можете заборонити такі засоби безпеки, як Fail2Ban на Apache, або обмеження швидкості - або заборонити вручну - або налаштувати ACL
• Дуже часто це можна побачити на будь-якому зовнішньому обладнанні, яке відповідає на звичайних портах
• Це небезпечно лише в тому випадку, якщо у вас на хості є непакетовані версії програмного забезпечення, які можуть бути вразливими. Це просто сліпі спроби зрозуміти, чи є у вас щось "круте" для цих дітей-скриптів, щоб повозитися. Подумайте про це як про те, що хтось ходить по стоянці, пробуючи двері автомобіля, щоб побачити, чи не розблоковані вони, переконайтесь, що ваш є, і, можливо, він залишить вас у спокої.

Це лише люди, які намагаються знайти вразливості на серверах. Майже напевно це роблять компресовані машини.

Просто люди сканують певні діапазони IP-адрес - ви можете побачити з phpMyAdmin, що він намагається знайти погано захищену попередньо встановлену версію PMA. Щойно його знайдуть, він може отримати дивовижний доступ до системи.

Переконайтесь, що ваша система постійно оновлюється, і у вас немає послуг, які не потрібні.

Це роботи, які сканують відомі подвиги безпеки. Вони просто сканують всі діапазони мережі і, отже, знайдуть необрекламовані сервери, як ваш. Вони не грають добре і не цікавлять ваш robots.txt. Якщо вони виявлять уразливість, вони або зареєструють її (і незабаром ви можете очікувати ручної атаки), або автоматично заражають вашу машину рут-кодом або подібними зловмисними програмами. Ви можете з цим зробити дуже мало, і це просто звичайний бізнес в Інтернеті. Саме тому важливо завжди мати найновіші виправлення безпеки для свого програмного забезпечення.

Як зазначали інші, вони, ймовірно, роблять грубе сканування. Якщо у вас є динамічна IP-адреса, вони можуть скоріше сканувати вашу адресу. (Наступна порада передбачає Linux / UNIX, але більшість може бути застосована до серверів Windows.)

Найпростіші способи їх блокування:

• Порт брандмауера 80 і дозволяє лише обмеженому колу IP-адрес отримати доступ до вашого сервера.
• Налаштуйте ACL у вашій конфігурації apache, яка дозволяє лише певній адресі отримати доступ до вашого sever. (Ви можете мати різні правила для різного вмісту.)
• Потрібна автентифікація для доступу з Інтернету.
• Змініть підпис сервера, щоб виключити збірку. (Не багато підвищеної безпеки, але ускладнює атаки на версію трохи складніше.
• Встановіть такий інструмент, як fail2ban, щоб автоматично блокувати їх адресу. Правильне узгодження зразків може зайняти певну роботу, але якщо помилки 400 серій нечасті для вашого зору, це може бути не так вже й складно.

Щоб обмежити шкоду, яку вони можуть завдати вашій системі, переконайтеся, що процес apache може записувати лише в каталоги та файли, які він повинен мати можливість змінювати. У більшості випадків серверу потрібен лише доступ для читання до вмісту, який він обслуговує.

Інтернет - це публічний простір, таким чином, термін public ip. Ви не можете приховати, крім того, встановивши якийсь спосіб заборонити публіку (vpn, acl на брандмауері, directaccess тощо). Ці зв'язки небезпечні, оскільки в кінцевому підсумку хтось буде швидше експлуатувати вас, ніж ви піддаєте виправлення. Я б розглядав якусь автентифікацію, перш ніж відповідати.