Chinese Hacker-Bots tentando explorar nossos sistemas 24/7

13

Nossos sites estão constantemente sob ataque de bots com endereços IP resolvidos para a China, tentando explorar nossos sistemas. Enquanto seus ataques estão sendo mal sucedidos, eles são uma constante drenagem nos recursos de nossos servidores. Uma amostra dos ataques seria assim:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Eles estão literalmente acertando nossos servidores 24/7, várias vezes a cada segundo, procurando por uma exploração. Os endereços IP são sempre diferentes, portanto, adicionar regras ao firewall para esses ataques serve apenas como soluções de curto prazo antes que eles sejam iniciados novamente.

Estou procurando uma abordagem sólida para identificar esses invasores quando o site é veiculado. Existe uma maneira programática de adicionar regras ao IIS ao identificar um endereço IP ou uma maneira melhor de bloquear essas solicitações?

Qualquer ideia ou solução para identificar e bloquear esses endereços IP seria muito bem-vinda. Obrigado!

    
por George 23.07.2010 / 19:21

11 respostas

11

Por favor, não coloque a lista negra em países inteiros , ou mesmo blocos de endereços grandes.

Considere as implicações dessas ações. Até mesmo bloquear um único endereço pode bloquear a conectividade com seu site para um número significativo de usuários . É perfeitamente possível que os proprietários legítimos dos hosts não saibam que suas caixas foram 0wned .

Você mostrou o tráfego "24/7" ... mas eu gostaria de pedir para você avaliar se o dreno de seus recursos é realmente significativo (vejo três segundos por segundo no máximo desse snippet de log).

Investigue suas opções. Certifique-se de que seus servidores estão realmente seguros, conduza sua própria avaliação de vulnerabilidades e analise o código do seu site. Procure em limitadores de taxa por fonte , firewalls de aplicativos da Web e semelhantes. Proteja seu site, preserve seus recursos e faça o que fizer sentido para suas necessidades de negócios.

Eu digo isso como alguém cujos serviços costumavam ser bloqueados regularmente pelo Grande Firewall da China . Se o seu site acabar sendo bom o suficiente, talvez ele até impeça os usuários de chegar até você !

    
por 24.07.2010 / 07:04
6

Eu bloqueio países inteiros. Os chineses só compraram um único item de mais de 3000 dos meus sites e, no entanto, eles costumavam responder por 18% da minha largura de banda. Desses 18%, cerca de 60% deles eram bots procurando scripts para explorar.

  • update - Depois de muitos anos, desliguei o bloqueio da China. Eu fui inundado com tráfego real não-bot em alguns termos-chave da Baidu. Após cerca de 400.000 acessos ao longo de algumas semanas, fiz uma venda apenas depois de criar uma página especial em chinês simplificado. Não vale a pena a largura de banda. Eu vou voltar a bloqueá-los.

Você também pode configurar uma regra de htaccess simples para redirecioná-los para a versão chinesa do FBI toda vez que eles procurarem algo que esteja começando com o phpmyadmin sem nenhum caso.

    
por 07.08.2010 / 10:16
2

Você pode tentar procurar em snort que é um Sistema de Detecção de Intrusão (pesquise por ele na Wikipédia, pois não posso vincular mais do que uma url). Verifique se o seu firewall já pode ter alguma coisa. Um IDS verifica o tráfego de entrada e, se ele vir um exploit, ele poderá bloqueá-lo no firewall.

Além disso, você não pode fazer muito. Eu não me incomodaria em notificar o contato abusivo do endereço IP, já que é improvável que algo resulte dele, a menos que você veja muitos ataques de um único endereço IP. Somente outra sugestão é manter seus servidores atualizados e quaisquer scripts de terceiros que você use atualizados para não se tornar vítima de um desses ataques.

    
por 23.07.2010 / 20:03
2

Bem, de acordo com o registro apnic de iana , o endereço IP 58.223.238.6 é parte de um bloco atribuído à China Telecom - com todo o bloco sendo 58.208.0.0 - 58.223.255.255. Eu não tenho certeza exatamente como você quer se aproximar dele. Se fosse eu, bloquearia toda a faixa de endereços em minhas regras e terminaria com isso. Mas isso pode ser muito de uma política de terra arrasada para você se sentir confortável.

Eu não sou um administrador da web, leve isso em conta, mas você pode criar algo que monitore o acesso de um conjunto de intervalos de IP (China) e, em seguida, forneça a inicialização se houver atividade que aponta para tentativas de exploração.

HTH

    
por 23.07.2010 / 22:00
2

Pode ser hora de procurar uma boa solução de hardware. Um Cisco ASA com um módulo IPS seria o mais próximo do rock que você vai conseguir.

link

    
por 23.07.2010 / 23:28
1

Os appliances de hardware corporativo da McAfee (uma aquisição da antiga série Secure Computing Sidewinder) têm um recurso de geolocalização que permite aplicar filtros a determinados países ou regiões. Pode ser difícil conseguir o equilíbrio certo, se você tiver muito tráfego legítimo da China também.

    
por 24.07.2010 / 01:15
1

Se você estiver usando o IIS - há um bom programa chamado IISIP do hdgreetings dot com que atualizará suas listas de bloqueio de servidor por IP ou Range usando um arquivo de texto personalizado ou também bloqueará a China ou Coréia usando listas de atualizações do Okean dot com .

Parte da lógica em parar isto é que, se eles são apenas bloqueados - consome recursos do servidor para bloquear e eles continuam tentando. Se eles são redirecionados para um loop - ele consome seus servidores. Além disso, se eles forem direcionados para materiais censurados, eles serão, por sua vez, censurados por seu próprio sistema e, possivelmente, impedidos de retornar.

Para o problema de hacker bots tentando phpmyadmin etc. minha solução foi ler meus arquivos de log e fazer todas as pastas em wwwroot que eles estão procurando, em seguida, colocar em cada um os nomes de arquivos php eles tentam acessar. Cada arquivo php, então, simplesmente contém um redirecionamento para algum outro lugar - então, quando eles o acessam - os envia para outro lugar. Como minhas webs estão todas usando cabeçalhos de host - elas não os afetam de maneira alguma. Uma pesquisa no google irá fornecer informações sobre como escrever um script php muito simples para redirecionamento. No meu caso, eu os envio para o projeto do honeypot ou os envio para um script que gera e-mails de lixo infinito, caso eles estejam colhendo. Outra alternativa é redirecioná-los de volta para seu próprio ip ou para algo que eles mesmos censurarão.

Para os bots de hackers de dicionário de ftp da China que usam o IIS, há um bom script chamado banftpips que adicionará automaticamente o IP do atacante à lista de banimento em tentativas fracassadas. É um pouco difícil conseguir trabalhar, mas funciona excepcionalmente bem. A melhor maneira de fazê-lo funcionar é usar várias cópias do script usando o nome inicialmente tentado, pois o script parece aceitar apenas um nome em vez de um array. Exemplo: Administrador, admin, abby etc. Também pode ser encontrado pelo google.

Essas soluções funcionam no IIS5 Win2K e provavelmente também no IIS mais recente.

    
por 22.09.2010 / 08:26
0

Instale o Firewall do Config Server (CSF) e defina a segurança para bloquear qualquer um que martele.

Nós o executamos em TODOS os nossos servidores.

    
por 23.07.2010 / 23:58
0

Primeiramente, certifique-se de que tudo esteja atualizado. Ocultar serviços como (!!!) phpmyadmin (!!!) . Também seria uma boa idéia para fazer um whois sobre estes Endereços IP e denuncie essa atividade ao endereço de e-mail de abuso. Mas é provavelmente o governo chinês, então você só vai dar-lhes algo para rir. Aqui , há informações sobre como relatar o problema ao FBI.

Em toda a realidade, você precisa tomar o assunto em suas próprias mãos. Você precisa testar seu servidor em busca de vulnerabilidades antes de encontrar um.

Teste de aplicativos da web:

  1. NTOSpier ($$$) - Muito bom, e esta é provavelmente melhor tecnologia do que eles têm.
  2. Acunetix ($) - Bom, mas não ótimo. Vai encontrar problemas.
  3. Wapiti e w3af (código aberto), você deve executar os dois. Você deve executar todos os módulos de ataque do w3af acessível. Mesmo se você for com acuentix ou ntospider você deve ainda corre w3af, há uma chance ele encontrará mais problemas.

Teste de serviços de rede:

  1. Execute o OpenVAS com TODOS os plug-ins.

  2. Execute o NMAP com um TCP / UDP completo digitalizar. Firewall tudo fora disso você não precisa.

Se você não conseguir corrigir nenhum dos problemas, aumente o profissional.

    
por 24.07.2010 / 10:57
0

"Por favor, não coloque a lista negra em países inteiros, ou mesmo blocos de endereços grandes. Considere as implicações dessas ações. Mesmo bloquear um único endereço pode bloquear a conectividade ao seu site para um número significativo de usuários. É perfeitamente possível que os legítimos proprietários dos anfitriões não sabem que suas caixas foram usadas. "

Acho que depende inteiramente do tipo de website e do público-alvo, bloqueando ou não países inteiros. Claro, o proprietário legítimo de um host em Xangai pode não saber que seu computador está investigando um site pertencente à sua empresa. Mas suponha que sua empresa tenha um público local, ou presuma que o site seja o portal do Outlook Web Access para seus funcionários - será um problema bloquear o site para usuários de Xangai?

É claro que a neutralidade da rede é uma coisa boa, mas nem todos os sites precisam necessariamente atender a um público global, e se você puder evitar problemas bloqueando o acesso de países que não fornecem visitantes legítimos do site - por que não fazê-lo? / p>     

por 01.08.2010 / 16:20
0

Informar o contato de abuso na China é impossível.

Eles não reagem, muitas vezes, esses endereços de e-mail de abuso nem sequer existem.

Estou bloqueando todos os endereços IP chineses ou, pelo menos, os bloqueando e limitando o acesso ao mínimo.

    
por 01.02.2013 / 10:14