Chinesische Hacker-Bots versuchen, unsere Systeme rund um die Uhr auszunutzen

13

Unsere Websites werden ständig von Bots mit IP-Adressen angegriffen, die nach China gehen und versuchen, unsere Systeme auszunutzen. Ihre Angriffe sind zwar erfolglos, belasten jedoch ständig die Ressourcen unserer Server. Eine Stichprobe der Angriffe würde so aussehen:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Sie erreichen unsere Server rund um die Uhr, mehrmals pro Sekunde, und suchen nach einem Exploit. Die IP-Adressen sind immer unterschiedlich. Das Hinzufügen von Regeln zur Firewall für diese Angriffe dient nur als kurzfristige Lösung, bevor sie erneut gestartet werden.

Ich suche nach einem soliden Ansatz, um diese Angreifer zu identifizieren, wenn die Website bereitgestellt wird. Gibt es eine programmgesteuerte Methode zum Hinzufügen von Regeln zu IIS beim Ermitteln einer IP-Adresse oder eine bessere Methode zum Blockieren dieser Anforderungen?

Über Ideen oder Lösungen zur Identifizierung und Sperrung dieser IP-Adressen würde ich mich sehr freuen. Vielen Dank!

security web-server iis-6 asp.net ids George
quelle
Das Benachrichtigen des Missbrauchskontakts über die mit der IP verknüpfte Verbindung ist ein Anfang. Sie wissen möglicherweise nicht, dass ihre IP die Quelle ist.
jl.
Erzähl mir davon! Meine Website wird auch ständig angegriffen. Jeden Tag sucht ein Bot nach Sicherheitslücken in WordPress. Ich blockiere sie weiterhin mit htaccess, da sie Tausende von 404s ausgeben!

Antworten:

11

Bitte nicht ganze Länder oder auch nur große Adressblöcke auf die schwarze Liste setzen .

Berücksichtigen Sie die Auswirkungen dieser Aktionen. Selbst das Blockieren einer einzelnen Adresse kann die Konnektivität zu Ihrer Site für eine erhebliche Anzahl von Benutzern blockieren . Es ist durchaus möglich, dass die rechtmäßigen Besitzer der Gastgeber nicht wissen, dass ihre Boxen vorhanden sind 0wned.

Sie haben gezeigt, dass der Datenverkehr "24/7" kommt, aber ich möchte Sie bitten, zu bewerten, ob die Belastung Ihrer Ressourcen wirklich erheblich ist (ich sehe maximal drei Treffer pro Sekunde in diesem Protokollausschnitt).

Untersuchen Sie Ihre Optionen. Stellen Sie sicher, dass Ihre Server tatsächlich gehärtet sind, führen Sie eine eigene Schwachstellenbewertung durch und überprüfen Sie den Site-Code. Informieren Sie sich über Quellenratenbegrenzer , Webanwendungsfirewalls und dergleichen. Sichern Sie Ihre Site, schonen Sie Ihre Ressourcen und tun Sie, was für Ihre Geschäftsanforderungen sinnvoll ist.

Ich sage das als jemand, dessen Dienste regelmäßig von der Great Firewall of China blockiert wurden . Wenn Ihre Website gut genug ist, blockieren sie möglicherweise sogar ihre Nutzer, um zu Ihnen zu gelangen !

Medina
quelle
Bei allem Respekt, das ist ein extremer Fall, den Sie zitiert haben. Es sei denn, seine Website ist ein weltweites Bildungsportal. Ich glaube nicht, dass dies zutrifft. Auch wenn er es als die beste Antwort akzeptierte, würde ich dies Menschen, die in Zukunft auf diesen Thread stoßen, nicht empfehlen.
Start des Kopierlaufs
Ich denke, es gilt immer noch und ist ein guter Rat, einfach weil Botnets globale Netzwerke sind und diese Art von Angriffen von jeder IP-Adresse weltweit ausgehen können, auch wenn sich die Personen, die das Botnet steuern, in einem einzigen Land befinden, in dem sich ihre Netzwerke nicht befinden. Die meisten Linux-Distributionen enthalten heutzutage das iptables-Modul "recent", um die Anzahl der Verbindungen pro Zeitraum pro Quellrate zu begrenzen. Für Apache ist wahrscheinlich etwas verfügbar, um das Limit pro Quelle basierend auf der Anzahl der generierten http-Fehlerseiten zu begrenzen.
BeowulfNode42
6

Ich blockiere ganze Länder. Die Chinesen haben NUR einen Artikel von über 3000 meiner Websites gekauft und machten bisher 18% meiner Bandbreite aus. Von diesen 18% waren etwa 60% Bots, die nach Skripten suchten, die sie ausnutzen konnten.

  • Update - Nach vielen Jahren habe ich abgeschaltet, um China zu blockieren. Ich wurde mit echtem Nicht-Bot-Verkehr überflutet, und zwar zu ein paar wichtigen Bedingungen von Baidu. Nach ungefähr 400.000 Zugriffen über einen Zeitraum von einer Woche habe ich nur einen Verkauf getätigt, nachdem ich eine spezielle Seite in vereinfachtem Chinesisch erstellt hatte. Die Bandbreite nicht wert. Ich werde sie wieder blockieren.

Sie können auch eine einfache htaccess-Regel einrichten, um sie jedes Mal zur chinesischen Version des FBI umzuleiten, wenn sie nach irgendetwas suchen, das mit phpmyadmin beginnt, ohne Groß- und Kleinschreibung.

V_RocKs
quelle
2

Sie können versuchen, Snort zu untersuchen, das ein Intrusion Detection System ist (suchen Sie es auf Wikipedia, da ich nicht mehr als eine URL verlinken kann). Überprüfen Sie, ob Ihre Firewall möglicherweise bereits über etwas verfügt. Ein IDS überprüft den eingehenden Datenverkehr und kann ihn auf der Firewall blockieren, wenn er einen Exploit erkennt.

Abgesehen davon können Sie nicht viel wirklich tun. Ich würde mich nicht darum kümmern, den Missbrauchskontakt über die IP-Adresse zu benachrichtigen, da es unwahrscheinlich ist, dass daraus etwas resultiert, es sei denn, Sie sehen viele Angriffe von einer einzelnen IP-Adresse. Der einzige andere Vorschlag ist, Ihre Server auf dem neuesten Stand zu halten und alle Skripte von Drittanbietern, die Sie verwenden, auf dem neuesten Stand zu halten, damit Sie keinem dieser Angriffe zum Opfer fallen.

vrillusions
quelle
2

Nun, laut dem Apnic- Register von iana ist die IP-Adresse 58.223.238.6 Teil eines Blocks, der China Telecom zugewiesen wurde - der gesamte Block ist 58.208.0.0 - 58.223.255.255. Ich bin mir nicht sicher, wie Sie es angehen wollen. Wenn ich es wäre, würde ich den gesamten Adressbereich in meinen Regeln sperren und damit fertig sein. Aber das könnte zu viel von einer Politik der verbrannten Erde sein, als dass Sie sich damit abfinden könnten.

Ich bin kein Webadministrator, nehmen Sie das also mit ein bisschen Salz, aber Sie können möglicherweise etwas herstellen, das den Zugriff von einer Reihe von IP-Bereichen (China) überwacht und ihnen dann den Start gibt, wenn es Aktivitäten gibt, die darauf hindeuten Ausbeutungsversuche.

HTH

Holocryptic
quelle
Ich habe Server angegriffen und umfassende Subnetze aus China blockiert, um den Datenverkehr zu stören. Ich habe darüber nachgedacht, dies zu einem dauerhaften Schritt zu machen. Wenn ich keine internationalen Dienste betreibe, die eine Kommunikation mit China erfordern, bin ich mir nicht sicher, was der Nachteil sein würde.
ManiacZX
@ManiacZX das war mein denken. Das Lustige ist, dass der aufgeführte Kontakt anti-spam @ hostingcompany ist. Sprechen Sie über Ironie.
Holocryptic
@Maniac - Leider ist ein großer Teil unseres Geschäfts in China, daher wäre es wahrscheinlich eine schlechte Idee, alles zu tun, was große Subnetze in China blockiert.
George
@ George, wenn das der Fall ist, würde ich mir Hardware / Software-IPS / IDS-Systeme ansehen, um in diesem Fall IP-Adressen dynamisch zu erkennen und zu blockieren, wie Jason und vrillusions vorgeschlagen haben.
Holocryptic
1
Eine andere Sache zu berücksichtigen, ich habe gesehen, dass dies auf der Mail-Seite verwendet wird, ist, nach Tools zu suchen, die, anstatt nur Pakete zu ignorieren oder abzulehnen, tatsächlich ihre Anfrage annehmen und dann eine Weile brauchen, um zu antworten. Wahrscheinlich sind ihre Tools nicht so gut geschrieben und warten auf Ihre Antwort, bevor Sie mit dem nächsten fortfahren. Eine leere Antwort alle 5 Sekunden ist viel besser als 100 Ablehnungen pro Sekunde.
ManiacZX
2

Vielleicht ist es an der Zeit, eine gute Hardwarelösung zu finden. Ein Cisco-ASA mit einem IPS-Modul ist in etwa so solide wie nie zuvor.

http://www.cisco.com/en/US/products/ps6825/index.html

Jason Berg
quelle
+1 - Ich könnte Ihnen nicht mehr zustimmen - es gibt keine Möglichkeit, dass wichtige Produktionsserver Anfragen direkt beantworten - dafür sind Firewalls und / oder Load-Balancer gedacht.
Chopper3
1
Wie kann ein ASA das beheben? Wie kann ein ASA das besser beheben, als nur die IP zu blockieren?
Devicenull
1

McAfee Enterprise-Hardware-Appliances (ein Buy-out der früheren Secure Computing Sidewinder-Serie) verfügen über eine Geo-Location-Funktion, mit der Sie Filter auf bestimmte Länder oder Regionen anwenden können. Es kann schwierig sein, das richtige Gleichgewicht zu finden, wenn Sie auch viel legitimen Verkehr aus China haben.


quelle
1

Wenn Sie IIS verwenden, gibt es ein gutes Programm mit dem Namen IISIP von hdgreetings dot com, das Ihre Server-Sperrlisten nach IP oder Bereich mit einer benutzerdefinierten Textdatei aktualisiert oder China oder Korea vollständig mit den Aktualisierungslisten von Okean dot com blockiert.

Ein Teil der Logik beim Stoppen ist, dass wenn sie nur blockiert werden, sie Serverressourcen verbrauchen, um zu blockieren, und sie versuchen es weiter. Wenn sie zu einer Schleife umgeleitet werden, werden stattdessen ihre Server verbraucht. Wenn sie sich an zensierte Materialien wenden, werden sie wiederum von ihrem eigenen System zensiert und möglicherweise von der Rückgabe ausgeschlossen.

Für das Problem der Hacker-Bots, die phpmyadmin usw. versuchen, bestand meine Lösung darin, meine Protokolldateien zu lesen und alle Ordner in wwwroot zu erstellen, nach denen sie suchen, und dann in jeden die Php-Dateinamen einzutragen, auf die sie zugreifen möchten. Jede PHP-Datei enthält dann einfach eine Weiterleitung an einen anderen Ort. Wenn sie darauf zugreifen, werden sie an einen anderen Ort weitergeleitet. Da alle meine Websites Host-Header verwenden, sind sie davon überhaupt nicht betroffen. Eine Google-Suche bietet Informationen darüber, wie Sie ein sehr einfaches PHP-Skript für die Umleitung schreiben. In meinem Fall schicke ich sie entweder an das Honeypot-Projekt oder an ein Skript, das unendliche Junk-E-Mails generiert, falls sie gerade gesammelt werden. Eine andere Alternative besteht darin, sie zurück zu ihrer eigenen IP-Adresse zu leiten oder zu etwas, das sie selbst zensieren.

Für Hacker-Bots aus dem chinesischen FTP-Wörterbuch, die IIS verwenden, gibt es ein nettes Skript namens banftpips, das die IP-Adresse des Angreifers bei fehlgeschlagenen Versuchen automatisch zur Sperrliste hinzufügt. Es ist ein bisschen schwierig, sich an die Arbeit zu machen, aber es funktioniert außergewöhnlich gut. Die beste Möglichkeit, dies zu erreichen, besteht darin, mehrere Kopien des Skripts mit dem zuerst verwendeten Namen zu verwenden, da das Skript anscheinend nur einen Namen anstelle eines Arrays akzeptiert. Beispiel: Administrator, admin, abby usw. Es kann auch von Google gefunden werden.

Diese Lösungen funktionieren auf IIS5 Win2K und wahrscheinlich auch auf neueren IIS.

Larry
quelle
0

Installieren Sie die Config Server Firewall (CSF) und stellen Sie die Sicherheit so ein, dass alle Hämmer blockiert werden.

Wir führen es auf ALLEN unseren Servern aus.

VisBits
quelle
0

Stellen Sie in erster Linie sicher, dass alles auf dem neuesten Stand ist. Verstecke Dienste wie (!!!) phpmyadmin (!!!) . Es wäre auch eine gute Idee, ein Whois zu machen diese IP-Adressen mit zu versehen und diese Aktivität ihrer Missbrauchs-E-Mail-Adresse zu melden. Aber es ist wahrscheinlich die chinesische Regierung, also gibst du ihnen etwas zum Lachen. Hier finden Sie Informationen zur Meldung des Problems an das FBI.

In aller Realität müssen Sie die Dinge selbst in die Hand nehmen. Sie müssen Ihren Server auf Schwachstellen testen, bevor er eine findet.

Testen von Webanwendungen:

  1. NTOSpier ($$$) - Sehr gut, und dies ist wahrscheinlich eine bessere Technologie als sie.
  2. Acunetix ($) - Gut, aber nicht großartig. Es wird Probleme finden.
  3. Wapiti und w3af (Open Source) sollten beide ausgeführt werden. Sie sollten jedes verfügbare w3af-Angriffsmodul ausführen. Auch wenn Sie mit acuentix oder ntospider arbeiten, sollten Sie trotzdem w3af ausführen, es besteht die Möglichkeit, dass weitere Probleme auftreten.

Testen von Netzwerkdiensten:

  1. Führen Sie OpenVAS mit ALLEN Plugins aus.

  2. Führen Sie NMAP mit einem vollständigen TCP / UDP-Scan aus. Firewall alles aus, was Sie nicht brauchen.

Wenn Sie eines der Probleme nicht beheben können, wenden Sie sich an einen Fachmann.

Turm
quelle
0

"Bitte setzen Sie nicht ganze Länder oder sogar große Adressblöcke auf die schwarze Liste. Berücksichtigen Sie die Auswirkungen dieser Aktionen. Selbst das Blockieren einer einzelnen Adresse kann die Konnektivität zu Ihrer Site für eine erhebliche Anzahl von Benutzern blockieren. Es ist durchaus möglich, dass die rechtmäßigen Eigentümer der Hosts dies tun." Ich weiß nicht, dass ihre Kisten besessen sind. "

Ich denke, dass es völlig von der Art der Website und der Zielgruppe abhängt, ob es sinnvoll ist, ganze Länder zu blockieren oder nicht. Sicher, der rechtmäßige Besitzer eines Hosts in Shanghai weiß möglicherweise nicht, dass sein Computer eine Website Ihres Unternehmens überprüft. Angenommen, Ihr Unternehmen hat ein lokales Publikum oder die Website ist das Outlook Web Access-Portal für Ihre Mitarbeiter. Ist es ein Problem, die Website für Benutzer aus Shanghai zu blockieren?

Natürlich ist Netzneutralität eine gute Sache, aber nicht alle Websites müssen unbedingt ein globales Publikum bedienen. Wenn Sie Probleme verhindern können, indem Sie den Zugriff von Ländern blockieren, die keine legitimen Website-Besucher bereitstellen, warum nicht?


quelle
0

Den Missbrauchskontakt in China zu informieren ist unmöglich.

Sie werden nicht reagieren, oft gibt es diese Missbrauchs-E-Mail-Adressen nicht einmal.

Ich blockiere alle chinesischen IP-Adressen oder schalte sie zumindest ein und beschränke ihren Zugriff auf ein Minimum.

Daniel W.
quelle
Willkommen bei Serverfehler. Dies ist eine Q & A-Site, kein Diskussionsforum, daher sollten Antworten die Frage beantworten . Wenn Sie auf der Website über genügend Reputation verfügen, können Sie Kommentare zu anderen Fragen und Antworten hinterlassen .
Michael Hampton