システムを24時間365日悪用しようとする中国のハッカーボット

13

私たちのサイトは、中国に解決するIPアドレスを持つボットから絶えず攻撃を受け、システムを悪用しようとしています。それらの攻撃は成功していませんが、サーバーリソースの絶え間ない流出です。攻撃のサンプルは次のようになります。

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

彼らは毎秒24回、毎秒数回、私たちのサーバーに散らかって、悪用を見つけようとしています。IPアドレスは常に異なるため、これらの攻撃のファイアウォールにルールを追加しても、再起動する前の短期的なソリューションとしてのみ機能します。

私は、ウェブサイトが提供されるときにこれらの攻撃者を識別するための堅実なアプローチを探しています。IPアドレスを特定するときにIISにルールを追加するプログラム的な方法や、これらの要求をブロックするより良い方法はありますか？

これらのIPアドレスを識別してブロックするためのアイデアやソリューションは大歓迎です。ありがとう！

— ジョージ
ソース

不正行為の連絡先にIPに関連付けられていることを通知することは開始点です。IPがソースであることを知らない場合があります。

— jl。

それについて教えて！私のウェブサイトも常に攻撃を受けています。毎日、ワードプレスの脆弱性を探しているボットがあります。彼らは何千もの404を発行するので、htaccessを使用してそれらをブロックし続けます！

11

国全体、または大きな住所ブロックでさえブラックリストに登録しないでください。

これらのアクションの意味を考慮してください。単一のアドレスをブロックしても、かなりの数のユーザーのサイトへの接続がブロックされる可能性があります。ホストの正当な所有者が自分のボックスが何であるかを知らないことは完全に可能0wnedです。

「24時間365日」のトラフィックを示しましたが、リソースの流出が本当に大きいかどうかを評価するようお願いします（そのログスニペットから最大3秒のヒットがあります）。

オプションを調べてください。サーバーが確実に強化されていることを確認し、独自の脆弱性評価とサイトコードのレビューを実施してください。ルックごとのソースレートリミッタを、Webアプリケーションファイアウォール、などが挙げられます。サイトを保護し、リソースを保持し、ビジネスニーズに合った方法を実行します。

これは、サービスが中国のグレートファイアウォールによって定期的にブロックされていた人として私は言います。あなたのサイトが十分に良くなった場合、おそらく彼らはユーザーがあなたに到達するのをさえ妨げるでしょう！

— メディナ
ソース

あらゆる点で、それはあなたが引用した極端なケースです。彼のウェブサイトが教育の世界的なポータルでない限り、私はそれが適用されるとは思わない。彼がそれを最良の答えとして受け入れたとしても、将来このスレッドに出くわす人にはこれを勧めないでしょう。

— コピー実行開始

ボットネットはグローバルネットワークであり、この種の攻撃は世界中のあらゆるIPアドレスから発生する可能性があるため、ボットネットを制御している人がネットワークを持たない単一の国にいるとしても、それはまだ適用され、良いアドバイスだと思います。最近のほとんどのLinuxディストリビューションには、期間ごとの接続数のソースごとのレート制限を実行するための「最近の」iptablesモジュールが含まれています。おそらく、Apacheが生成するhttpエラーページの数に基づいてソースごとにレート制限を行うために利用できるものがあります。

— BeowulfNode42

6

国全体をブロックします。中国人は私のサイトの3000以上から単一のアイテムを購入しただけで、それでも彼らは私の帯域幅の18％を占めていました。その18％の約60％は、悪用するスクリプトを探しているボットでした。

更新-長年後、私は中国のブロックをオフにしました。Baiduからのいくつかの重要な用語で、実際の非ボットトラフィックが殺到しました。1週間で約40万件ヒットした後、中国語（簡体字）で特別なページを作成してから1回販売しました。帯域幅の価値はありません。それらのブロックに戻ります。

また、単純なhtaccessルールを設定して、ケースなしでphpmyadminで始まるものを探すたびに、FBIの中国語版にリダイレクトすることもできます。

— V_RocKs
ソース

2

侵入検知システムであるsnortを調べることができます（複数のURLにリンクできないため、ウィキペディアで検索してください）。ファイアウォールに既に何かがあるかもしれないことを確認してください。IDSは着信トラフィックをスキャンします。IDSは、悪用を発見した場合、ファイアウォールでそれをブロックできます。

それ以外は、本当にできることはあまりありません。単一のIPアドレスから多くの攻撃が見られない限り、IPアドレスの不正使用の連絡先に通知することはありません。他の提案のみが、サーバーを最新の状態に保ち、これらの攻撃のいずれかの被害者にならないように、使用するサードパーティのスクリプトを最新に保つことです。

— vrillusions
ソース

2

さて、ianaのapnicレジストリによると、IPアドレス58.223.238.6はChina Telecomに割り当てられたブロックの一部です-ブロック全体は58.208.0.0-58.223.255.255です。どのようにアプローチしたいのか正確にはわかりません。私なら、ルールでアドレス範囲全体をブロックし、それで完了です。しかし、それはあなたが満足するには焦げた地球政策のあまりに多すぎるかもしれません。

私はウェブ管理者ではないので、これを一粒で取りますが、IP範囲のセット（中国）からのアクセスを監視するものを作成し、それを指すアクティビティがある場合にブートを与えることができるかもしれません搾取の試み。

HTH

— ホロクリプティック
ソース

サーバーが攻撃を受け、中国からのサブネットをブロックしてトラフィックを妨害しました。中国とのコミュニケーションを必要とする国際的なサービスを実行しない限り、私はこれを永続的な動きにすることを検討しました。

— ManiacZX

@ManiacZXそれは私の考えでした。面白いことに、リストされている連絡先はanti-spam @ hostingcompanyです。皮肉について話してください。

— ホロクリプティック

@マニアック-残念ながら、私たちのビジネスの大部分は中国にあるので、中国で大規模なサブネットをブロックすることはおそらく悪い考えでしょう。

— ジョージ

@Georgeの場合、Jasonやvrillusionsが示唆しているように、ハードウェア/ソフトウェアIPS / IDSシステムを調べて、その場合にIPアドレスを動的に検出およびブロックします。

— ホロクリプティック

1

考慮すべきもう1つのことは、これをメール側で使用していることです。パケットを単に無視または拒否する代わりに、実際に要求を受け入れて応答するまでに時間がかかるツールを探します。オッズは、彼らのツールはあまりよく書かれていないので、次の記事に進む前にあなたの応答を待っているでしょう。5秒ごとに1つの空白の応答は、1秒あたり100の拒否よりもはるかに優れています。

— ManiacZX

2

良いハードウェアソリューションを検討する時間になるかもしれません。IPSモジュールを搭載したCisco ASAは、これから入手するものとほぼ同じくらい堅固です。

http://www.cisco.com/en/US/products/ps6825/index.html

— ジェイソン・バーグ
ソース

+1-これ以上同意できませんでした-重要な運用サーバーが直接リクエストに対応するべきであるということは地獄にはありません-それがファイアウォールやロードバランサーの目的です。

— チョッパー

1

ASAはこれをどのように修正しますか？具体的には、ASAはIPをブロックするだけでなく、これをどのように修正するのでしょうか。

— devicenull

1

McAfeeエンタープライズハードウェアアプライアンス（以前のSecure Computing Sidewinderシリーズの買収）には、特定の国または地域にフィルターを適用できるジオロケーション機能があります。中国からの合法的な交通量が多い場合でも、バランスを取るのは難しいかもしれません。

1

IISを使用している場合-カスタムテキストファイルを使用してIPまたは範囲でサーバーブロックリストを更新する、またはOkeanドットコムの更新リストを完全に使用して中国または韓国をブロックする、hdgreetings dot comのIISIPと呼ばれる優れたプログラムがあります。

これを停止するロジックの一部は、ブロックされている場合のみ-ブロックするサーバーリソースを消費し、試行を続けるということです。ループにリダイレクトされた場合-代わりにサーバーを消費します。同様に-彼らが検閲された材料に向けられている場合-彼らは順番に独自のシステムによって検閲され、おそらく戻りを妨げるでしょう。

ハッカーボットがphpmyadminなどを試す問題については、ログファイルを読み取り、wwwroot内のすべてのフォルダーを作成し、アクセスしようとするphpファイル名を各フォルダーに入れます。各phpファイルには、他の場所へのリダイレクトが含まれているだけなので、アクセスすると、他の場所に送信されます。私のウェブはすべてホストヘッダーを使用しているため、影響はまったくありません。Googleルックアップは、リダイレクト用の非常に単純なphpスクリプトの作成方法に関する情報を提供します。私の場合、ハニーポットプロジェクトに送信するか、収穫している場合に無限のジャンクメールを生成するスクリプトに送信します。別の方法は、自分のIPまたは検閲するものにリダイレクトすることです。

IISを使用する中国のftp辞書ハッカーボットには、banftpipsと呼ばれる素晴らしいスクリプトがあります。これは、失敗した試行で攻撃者のIPを禁止リストに自動的に追加します。働くのは少し難しいですが、非常にうまく機能します。スクリプトを機能させる最良の方法は、最初に試行した名前を使用してスクリプトの複数のコピーを使用することです。スクリプトは配列ではなく1つの名前のみを受け入れるように見えるためです。例：管理者、管理者、アビーなど。グーグルでも見つけることができます。

これらのソリューションは、IIS5 Win2Kで動作し、おそらく新しいIISでも動作します。

— ラリー
ソース

0

Config Server Firewall（CSF）をインストールし、セキュリティを設定して、攻撃するものをブロックします。

すべてのサーバーで実行します。

— VisBits
ソース

0

何よりもまず、すべてが最新のものであることを確認してください。（!!!） phpmyadmin （!!!）などのサービスを非表示にします。また、これらのIPアドレスでwhoisを実行し、このアクティビティを悪用メールアドレスに報告することをお勧めします。しかし、おそらく中国政府なので、あなたは彼らに笑い物をあげるだけです。以下は、FBIへの問題の報告に関する情報です。

すべての現実では、問題を自分の手で取る必要があります。脆弱性を見つける前に、サーバーの脆弱性をテストする必要があります。

Webアプリケーションのテスト：

NTOSpier（$$$）-非常に優れており、これはおそらく彼らが持っているよりも優れた技術です。
Acunetix（$）-良いが、素晴らしいとは言えない。問題が見つかります。
Wapitiとw3af（オープンソース）、両方を実行する必要があります。使用可能なすべてのw3af攻撃モジュールを実行する必要があります。acuentixまたはntospiderを使用する場合でも、w3afを実行する必要がありますが、さらに問題が見つかる可能性があります。

ネットワークサービステスト：

すべてのプラグインでOpenVASを実行します。
完全なTCP / UDPスキャンでNMAPを実行します。不要なものはすべてファイアウォールで保護します。

いずれの問題も解決できない場合は、専門家に依頼してください。

— ルーク
ソース

0

「国全体、または大きなアドレスブロックさえもブラックリストに登録しないでください。これらのアクションの意味を考慮してください。箱が0になっていることを知らないでください。」

国全体をブロックするのが賢明であるかどうかにかかわらず、それは完全にウェブサイトのタイプと意図する視聴者に依存すると思います。確かに、上海のホストの正当な所有者は、自分のコンピューターがあなたの会社に属するWebサイトを調査していることを知らないかもしれません。しかし、あなたの会社は地元の聴衆を持っている、またはウェブサイトが従業員のためのOutlook Web Accessポータルであると仮定します-それは上海からのユーザーのウェブサイトをブロックする問題ですか？

もちろん、ネットの中立性は良いことですが、すべてのウェブサイトが必ずしもグローバルな視聴者にサービスを提供する必要はありません。正当なウェブサイト訪問者を提供していない国からのアクセスをブロックすることで問題を防ぐことができるなら、そうしませんか？

0

中国での虐待連絡を知らせることは不可能です。

多くの場合、これらの不正メールアドレスは存在しません。

私はすべての中国語のIPアドレスをブロックするか、少なくともそれらをゲートしてアクセスを最小限に制限しています。

— ダニエル・W
ソース

サーバー障害へようこそ。これはQ＆Aサイトであり、ディスカッションフォーラムではないため、回答は実際に質問に回答する必要があります。サイトで十分な評判を得たら、他の質問と回答にコメントを残すことができます。

— マイケルハンプトン