これらの「悪質なボット」は私の閉じたWebサーバーをどのように見つけますか？

少し前にApacheをインストールしましたが、access.logをざっと見てみると、あらゆる種類の不明なIPが接続されていることがわかります。ほとんどの場合、ステータスコードは403、404、400、408です。私のIP。これは個人的な目的でのみ使用し、robots.txtを追加したのは、検索エンジンを遠ざけるためです。インデックスをブロックしますが、本当に重要なことは何もありません。

これらのボット（または人々）はどのようにサーバーを見つけていますか？これが起こることは一般的ですか？これらの接続は危険ですか/それに対して何ができますか？

また、多くのIPはあらゆる種類の国からのものであり、ホスト名を解決しません。

以下に、何が発生するかの例を示します。

1回の大規模なスイープで、このボットはphpmyadminを見つけようとしました。

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

私はこれらをたくさん得る：

"HEAD / HTTP/1.0" 403 - "-" "-"

たくさんの「proxyheader.php」、GETのhttp：//リンクでかなりのリクエストを受け取ります

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

「接続」

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

「soapCaller.bs」

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

そして、これは本当に大ざっぱなヘックスクラップです。

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

空の

"-" 408 - "-" "-"

それはただの要点です。win95ユーザーエージェントを使用していても、あらゆる種類のジャンクが発生します。

ありがとう。

インターネットへようこそ:)

• 彼らがあなたを見つけた方法：たぶん、総当たりのIPスキャンです。ちょうど彼らがそれを見つけたらあなたのホストの脆弱性スキャンの絶え間ない流れのように。
• 今後防止するには：完全に回避することはできませんが、Apacheまたはレート制限でFail2Banのようなセキュリティツールを禁止したり、手動で禁止したり、ACLを設定したりできます。
• 一般的なポートで応答する外部のアクセス可能なハードウェアでこれを確認することは非常に一般的です
• 脆弱性が存在する可能性のあるパッチを当てていないバージョンのソフトウェアがホスト上にある場合にのみ危険です。これらは、これらのスクリプトキディをいじくり回すための「かっこいい」ものがあるかどうかを確認するための盲目的な試みにすぎません。駐車場を歩き回って車のドアを開けて、ロックが解除されているかどうかを確認している人のことを考えてください。

これらは、サーバーの脆弱性を見つけようとする人々に過ぎません。ほとんどの場合、妥協のないマシンによって行われます。

これは、特定のIP範囲をスキャンしている人たちだけです。phpMyAdminから、安全性の低いPMAのプレインストールバージョンを見つけようとしていることがわかります。それが見つかると、システムに驚くほどアクセスできるようになります。

システムが最新の状態に保たれていること、および不要なサービスがないことを確認してください。

これらは、既知のセキュリティエクスプロイトをスキャンするロボットです。彼らは単にネットワーク範囲全体をスキャンするので、あなたのような宣伝されていないサーバーを見つけるでしょう。彼らはうまく遊んでおらず、robots.txtを気にしません。脆弱性が見つかった場合は、ログに記録するか（間もなく手動での攻撃が予想されます）、ルートキットまたは類似のマルウェアがマシンに自動的に感染します。これについてできることはほとんどなく、インターネットでの通常のビジネスです。これらが、ソフトウェアの最新のセキュリティ修正を常にインストールしておくことが重要である理由です。

他の人が指摘したように、彼らはブルートフォーススキャンを実行している可能性があります。動的IPアドレスを使用している場合は、アドレスをスキャンする可能性が高くなります。（以下のアドバイスはLinux / UNIXを想定していますが、ほとんどがWindowsサーバーに適用される場合があります。）

それらをブロックする最も簡単な方法は次のとおりです。

• ファイアウォールポート80。制限された範囲のIPアドレスのみがサーバーにアクセスできます。
• 特定のアドレスのみがサーバーにアクセスできるようにするapache構成でACLを構成します。（コンテンツごとに異なるルールを設定できます。）
• インターネットからのアクセスには認証が必要です。
• サーバーの署名を変更して、ビルドを除外します。（セキュリティはそれほど向上していませんが、バージョン固有の攻撃を少し難しくしています。
• fail2banなどのツールをインストールして、アドレスを自動的にブロックします。一致するパターンを正しく取得するには少し手間がかかる場合がありますが、400シリーズのエラーが目に見えないことが珍しい場合、それほど難しくはないかもしれません。

彼らがあなたのシステムに与えることができる損害を制限するために、Apacheプロセスがそれが変更することができるはずであるディレクトリとファイルにのみ書き込むことができることを確認してください。ほとんどの場合、サーバーは、提供するコンテンツへの読み取りアクセスのみを必要とします。

インターネットはパブリックスペースなので、public ipという用語が使用されます。パブリックを拒否する何らかの方法（vpn、ファイアウォールのACL、ダイレクトアクセスなど）を設定しない限り、非表示にすることはできません。これらの接続は危険です。最終的に誰かが、あなたがパッチを当てるよりもあなたを悪用するのが速くなるからです。応答する前に、何らかの認証を検討します。