Como esses 'bots ruins' estão encontrando meu servidor web?

9

Instalei o Apache há algum tempo, e uma rápida olhada no meu access.log mostra que todos os tipos de IPs desconhecidos estão se conectando, principalmente com um código de status 403, 404, 400, 408. Não tenho ideia de como eles Estou encontrando meu IP, porque eu o uso apenas para uso pessoal e adicionei um arquivo robots.txt com a esperança de manter os mecanismos de pesquisa distantes. Eu bloqueio índices e não há nada realmente importante nisso.

Como esses bots (ou pessoas) estão encontrando o servidor? É comum que isso aconteça? Essas conexões são perigosas / o que posso fazer sobre isso?

Além disso, muitos IPs vêm de todos os tipos de países e não resolvem um nome de host.

Veja alguns exemplos do que acontece:

em uma grande varredura, esse bot tentou encontrar o phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

eu recebo muitos destes:

"HEAD / HTTP/1.0" 403 - "-" "-"

muitos "proxyheader.php", eu recebo alguns pedidos com http: // links no GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"CONNECT"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

e essa porcaria feia realmente incompleta ..

"\xad\r<\xc8\xda\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

vazio

"-" 408 - "-" "-"

Essa é apenas a essência disso. Eu recebo todos os tipos de lixo, mesmo com os user agents do win95.

Obrigado.

    
por bryc 04.12.2011 / 05:01

5 respostas

14

Bem-vindo à internet:)

  • Como eles te encontraram: As chances são de varredura IP de força bruta. Assim como o fluxo constante de vulnerabilidades de varredura em seu host, uma vez que o encontraram.
  • Para evitar no futuro: Embora não seja totalmente evitável, você pode inibir ferramentas de segurança como o Fail2Ban no Apache ou limitar os limites - ou proibir manualmente - ou configurar o ACL
  • É muito comum ver isso em qualquer hardware externo acessível que responda em portas comuns
  • Só é perigoso se você tiver versões do software não corrigidas no host que possam estar vulneráveis. Estas são apenas tentativas cegas de ver se você tem alguma coisa 'legal' para essas crianças de script para mexer com. Pense nisso como alguém andando pelo estacionamento tentando portas de carros para ver se eles estão destrancados, certifique-se de que o seu é e as chances são de que ele deixe o seu em paz.
por 04.12.2011 / 05:15
1

Estas são apenas pessoas tentando encontrar vulnerabilidades em servidores. Quase certamente feito por máquinas comprometidas.

Serão apenas pessoas que estão digitalizando certos intervalos de IP - você pode ver pelo phpMyAdmin, que está tentando encontrar uma versão de pré-instalação do PMA mal protegida. Uma vez encontrado, pode obter acesso surpreendente ao sistema.

Certifique-se de que seu sistema esteja atualizado e de que você não possui serviços desnecessários.

    
por 04.12.2011 / 05:14
1

Estes são robôs que rastreiam explorações de segurança conhecidas. Eles simplesmente examinam intervalos de rede inteiros e, portanto, localizam servidores não anunciados como o seu. Eles não estão jogando bem e não se importam com o seu robots.txt. Se encontrar uma vulnerabilidade, ela será registrada (e você poderá esperar um ataque manual em breve) ou infectará automaticamente sua máquina com um rootkit ou malware semelhante. Há muito pouco que você pode fazer sobre isso e é apenas um negócio normal na internet. Eles são a razão pela qual é importante sempre ter as correções de segurança mais recentes para o seu software instalado.

    
por 04.12.2011 / 05:14
1

Como outros notaram, eles provavelmente estão fazendo varredura de força bruta. Se você estiver em um endereço IP dinâmico, é mais provável que eles digitalizem seu endereço. (O seguinte conselho pressupõe o Linux / UNIX, mas a maioria pode ser aplicada a Windows Servers.)

As maneiras mais fáceis de bloqueá-los são:

  • Firewall port 80 e só permite que um intervalo limitado de endereços IP acesse seu servidor.
  • Configure ACL (s) na sua configuração do apache, que permite que apenas determinados endereços acessem seu servidor. (Você pode ter regras diferentes para conteúdo diferente).
  • Requer autenticação para acesso da Internet.
  • Altere a assinatura do servidor para excluir sua construção. (Não há muito aumento de segurança, mas torna os ataques específicos da versão um pouco mais difíceis.
  • Instale uma ferramenta como o fail2ban, para bloquear automaticamente seu endereço. Obter o (s) padrão (s) correspondente (is) pode exigir um pouco de trabalho, mas se os erros da série 400 forem incomuns para a sua visão pode não ser tão difícil.

Para limitar os danos que podem causar ao seu sistema, certifique-se de que o processo do apache só pode gravar em diretórios e arquivos que ele possa alterar. Na maioria dos casos, o servidor só precisa de acesso de leitura ao conteúdo que serve.

    
por 04.12.2011 / 21:40
0

A internet é espaço público, daí o termo ip público. Você não pode se esconder exceto definindo alguma maneira de negar o público (vpn, acl em um firewall, acesso direto etc.). Essas conexões são perigosas, pois eventualmente alguém será mais rápido em explorar você do que na correção. Eu consideraria algum tipo de autenticação antes de responder.

    
por 04.12.2011 / 07:00