Hacker-Bot Cina berusaha mengeksploitasi sistem kami 24/7

13

Situs kami terus-menerus diserang oleh bot dengan alamat IP yang diselesaikan ke Cina, mencoba mengeksploitasi sistem kami. Meskipun serangan mereka terbukti tidak berhasil, serangan mereka terus-menerus menguras sumber daya server kami. Contoh serangan akan terlihat seperti ini:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Mereka memukul server kami 24/7, berkali-kali setiap detik, mencari eksploit. Alamat IP selalu berbeda, jadi menambahkan aturan ke firewall untuk serangan ini hanya berfungsi sebagai solusi jangka pendek sebelum mereka mulai lagi.

Saya mencari pendekatan yang solid untuk mengidentifikasi penyerang ini ketika situs web disajikan. Apakah ada cara terprogram untuk menambahkan aturan ke IIS setelah mengidentifikasi alamat IP atau cara yang lebih baik untuk memblokir permintaan ini?

Setiap ide atau solusi untuk mengidentifikasi dan memblokir alamat IP ini akan sangat disambut. Terima kasih!

George
sumber
Memberitahu kontak penyalahgunaan terkait dengan IP adalah awal. Mereka mungkin tidak menyadari IP mereka adalah sumbernya.
jl.
Beritahu aku tentang itu! Situs web saya juga terus diserang. Setiap hari ada bot yang mencari kerentanan wordpress. Saya terus memblokir mereka menggunakan htaccess karena mereka mengeluarkan ribuan 404-an!

Jawaban:

11

Tolong jangan daftar hitam seluruh negara , atau bahkan blok alamat besar.

Pertimbangkan implikasi dari tindakan ini. Bahkan memblokir satu alamat saja dapat memblokir konektivitas ke situs Anda untuk sejumlah besar pengguna . Sangat mungkin pemilik sah host tidak tahu kotak mereka telah 0wned.

Anda memang menunjukkan trafik yang datang "24/7" ... tetapi saya akan meminta Anda untuk mengevaluasi apakah pengurasan sumber daya Anda benar-benar signifikan (saya melihat tiga hit maks kedua dari potongan log itu).

Selidiki pilihan Anda. Pastikan server Anda memang mengeras, lakukan penilaian kerentanan Anda sendiri dan tinjau kode situs Anda. Lihat per- batas -sumber per sumber , firewall aplikasi web , dan sejenisnya. Amankan situs Anda, pertahankan sumber daya Anda, dan lakukan apa yang masuk akal untuk kebutuhan bisnis Anda.

Saya mengatakan ini sebagai seseorang yang layanannya dulu sering diblokir oleh Great Firewall of China . Jika situs Anda berakhir dengan cukup baik, mungkin mereka bahkan akan memblokir penggunanya dari Anda !

medina
sumber
Dengan segala hormat, itu adalah kasus ekstrem yang Anda kutip. Kecuali jika situs webnya adalah portal pendidikan di seluruh dunia, saya rasa itu tidak berlaku. Meskipun dia menerimanya sebagai jawaban terbaik, saya tidak akan merekomendasikan ini kepada orang-orang yang menemukan utas ini di masa depan.
Salin Jalankan Mulai
Saya pikir itu masih berlaku dan merupakan saran yang baik, hanya karena botnet adalah jaringan global dan serangan semacam ini dapat datang dari alamat IP mana pun di seluruh dunia, bahkan jika orang yang mengendalikan botnet berada di satu negara, jaringan mereka tidak. Kebanyakan distro linux dewasa ini menyertakan modul iptables "baru-baru ini" untuk melakukan per rate sumber membatasi jumlah koneksi per periode waktu. Mungkin ada sesuatu yang tersedia untuk apache untuk menilai batas per-sumber berdasarkan jumlah halaman kesalahan http yang mereka hasilkan juga.
BeowulfNode42
6

Saya memblokir seluruh negara. Orang Cina HANYA membeli satu barang dari lebih dari 3000 situs saya, tetapi barang itu digunakan untuk menghitung 18% dari bandwidth saya. Dari 18% itu, sekitar 60% darinya adalah bot yang mencari skrip untuk dieksploitasi.

  • pembaruan - Setelah bertahun-tahun saya mematikan pemblokiran China. Saya dibanjiri lalu lintas non-bot yang nyata dengan beberapa syarat utama dari Baidu. Setelah sekitar 400.000 hit selama seminggu saya membuat satu penjualan hanya setelah saya membuat halaman khusus dalam Bahasa Cina Sederhana. Tidak sebanding dengan bandwidth. Saya akan kembali untuk memblokir mereka.

Anda juga bisa membuat aturan htaccess sederhana untuk mengarahkan mereka ke FBI versi China setiap kali mereka mencari apa pun yang dimulai dengan phpmyadmin tanpa case.

V_RocKs
sumber
2

Anda dapat mencoba melihat ke mendengus yang merupakan Sistem Deteksi Intrusi (mencarinya di wikipedia karena saya tidak dapat menautkan lebih dari satu url). Periksa apakah firewall Anda mungkin sudah memiliki sesuatu. IDS memindai lalu lintas yang masuk dan jika ia melihat exploit, ia tahu itu dapat memblokirnya di firewall.

Selain itu, tidak banyak yang bisa Anda lakukan. Saya tidak akan repot-repot memberi tahu kontak penyalahgunaan alamat ip karena kemungkinan tidak akan ada hasil dari itu kecuali Anda melihat banyak serangan dari satu alamat ip. Hanya saran lain yang membuat server Anda tetap mutakhir dan skrip pihak ketiga mana pun yang Anda gunakan selalu diperbarui sehingga Anda tidak menjadi korban dari salah satu serangan ini.

getaran
sumber
2

Nah, menurut APNIC registri dari IANA , alamat IP 58.223.238.6 adalah bagian dari blok ditugaskan untuk China Telecom - dengan seluruh blok yang 58.208.0.0 - 58.223.255.255. Saya tidak yakin persis bagaimana Anda ingin mendekatinya. Jika itu saya, saya akan memblokir seluruh rentang alamat dalam aturan saya dan selesai dengan itu. Tapi itu mungkin terlalu banyak kebijakan bumi hangus bagi Anda untuk merasa nyaman.

Saya bukan admin web, jadi ambillah ini dengan sebutir garam, tetapi Anda mungkin dapat membuat sesuatu yang memonitor akses dari satu set rentang IP (China), dan kemudian memberi mereka boot jika ada aktivitas yang menunjuk ke upaya eksploitasi.

HTH

Holokriptik
sumber
Server saya diserang dan diblokir yang mencakup subnet dari Cina untuk mengganggu lalu lintas. Saya telah mempertimbangkan untuk membuat ini lebih sebagai langkah permanen, kecuali menjalankan layanan internasional yang membutuhkan komunikasi dengan China, saya tidak yakin apa kelemahannya.
ManiacZX
@ManiacZX itu adalah pemikiran saya. Lucunya, kontak yang tercantum adalah anti-spam @ hostingperusahaan. Bicara tentang ironis.
Holocryptic
@Maniac - Sayangnya, sebagian besar bisnis kami ada di Cina, jadi melakukan apa pun yang memblokir subnet besar di Cina mungkin merupakan ide yang buruk.
George
@ George jika itu masalahnya, saya akan melihat perangkat keras / perangkat lunak sistem IPS / IDS untuk secara dinamis mendeteksi dan memblokir alamat IP dalam kasus itu, seperti yang disarankan Jason dan vrillusions.
Holocryptic
1
Satu hal yang perlu dipertimbangkan, saya pernah melihat ini digunakan di sisi surat, adalah mencari alat yang alih-alih mengabaikan atau menolak paket akan benar-benar menerima permintaan mereka, kemudian butuh waktu untuk merespons. Kemungkinan alat mereka tidak ditulis dengan baik dan akan menunggu tanggapan Anda sebelum melanjutkan ke yang berikutnya. Satu respons kosong setiap 5 detik jauh lebih baik daripada 100 penolakan per detik.
ManiacZX
2

Mungkin ada waktu untuk mencari solusi perangkat keras yang baik. Cisco ASA dengan modul IPS akan mendekati rock solid seperti yang Anda dapatkan.

http://www.cisco.com/en/US/products/ps6825/index.html

Jason Berg
sumber
+1 - Saya sangat setuju dengan Anda - tidak mungkin server produksi penting harus langsung menerima permintaan - itulah gunanya firewall dan / atau load-balancers.
Chopper3
1
Bagaimana ASA akan memperbaikinya? Secara khusus, bagaimana ASA akan memperbaikinya lebih baik daripada hanya memblokir IP?
devicenull
1

Peralatan perangkat keras perusahaan McAfee (pembelian dari seri Secure Computing Sidewinder sebelumnya) memiliki fitur Geo-location yang memungkinkan Anda menerapkan filter ke negara atau wilayah tertentu. Mungkin sulit untuk mendapatkan keseimbangan dengan benar jika Anda memiliki banyak lalu lintas yang sah dari Tiongkok juga.


sumber
1

Jika Anda menggunakan IIS - ada program bagus yang disebut IISIP dari hdgreetings dot com yang akan memperbarui daftar blok server Anda dengan IP atau Range menggunakan file teks khusus atau juga memblokir Cina atau Korea seluruhnya menggunakan daftar pembaruan dari Okean dot com.

Bagian dari logika dalam menghentikan ini adalah bahwa jika mereka hanya diblokir - ia menghabiskan sumber daya server untuk memblokir dan mereka terus mencoba. Jika mereka diarahkan ke satu lingkaran - itu mengkonsumsi server mereka sebagai gantinya. Juga - jika mereka diarahkan ke bahan yang disensor - mereka pada gilirannya akan disensor oleh sistem mereka sendiri dan mungkin dicegah untuk kembali.

Untuk masalah bot hacker yang mencoba phpmyadmin dll. Solusi saya adalah membaca file log saya dan membuat semua folder di wwwroot yang mereka cari kemudian memasukkan masing-masing nama file php yang mereka coba akses. Setiap file php kemudian hanya berisi redirect ke tempat lain - jadi ketika mereka mengaksesnya - itu mengirimkannya ke tempat lain. Karena web saya semuanya menggunakan header host - itu tidak mempengaruhi mereka sama sekali. Pencarian google akan memberikan info tentang cara menulis skrip php yang sangat sederhana untuk pengalihan. Dalam kasus saya, saya mengirim mereka ke proyek honeypot atau mengirimnya ke skrip yang menghasilkan email sampah tak terbatas jika mereka memanen. Alternatif lain adalah mengarahkan mereka kembali ke ip mereka sendiri atau ke sesuatu yang akan mereka sensor sendiri.

Untuk bot ftp kamus hacker Cina menggunakan IIS ada skrip bagus bernama banftpips yang secara otomatis akan menambahkan IP penyerang ke daftar larangan pada upaya gagal. Agak sulit untuk bekerja tetapi bekerja dengan sangat baik. Cara terbaik untuk membuatnya bekerja adalah dengan menggunakan banyak salinan skrip menggunakan nama yang pertama kali dicoba karena skrip hanya menerima satu nama daripada array. Contoh: Administrator, admin, abby dll. Dapat ditemukan oleh google juga.

Solusi ini berfungsi pada IIS5 Win2K dan mungkin juga pada IIS yang lebih baru juga.

Larry
sumber
0

Instal Config Server Firewall (CSF) dan atur keamanan untuk memblokir siapa pun yang memalu.

Kami menjalankannya di SEMUA server kami.

VisBits
sumber
0

Pertama dan terpenting pastikan semuanya sudah mutakhir. Sembunyikan layanan seperti (!!!) phpmyadmin (!!!) . Ini juga merupakan ide yang baik untuk melakukan whois pada alamat ip ini dan melaporkan aktivitas ini ke alamat email penyalahgunaan mereka. Tapi itu mungkin pemerintah Cina sehingga Anda hanya akan memberi mereka sesuatu untuk ditertawakan. Berikut adalah informasi tentang melaporkan masalah tersebut ke FBI.

Dalam semua kenyataan, Anda perlu menangani sendiri masalah Anda. Anda perlu menguji kerentanan server Anda sebelum mereka menemukannya.

Pengujian Aplikasi Web:

  1. NTOSpier ($$$) - Sangat bagus, dan ini mungkin teknologi yang lebih baik daripada yang mereka miliki.
  2. Acunetix ($) - Bagus, tapi tidak hebat. Itu akan menemukan masalah.
  3. Wapiti dan w3af (open source), Anda harus menjalankan keduanya. Anda harus menjalankan setiap modul serangan w3af yang tersedia. Bahkan jika Anda menggunakan acuentix atau ntospider Anda masih harus menjalankan w3af, ada kemungkinan ia akan menemukan lebih banyak masalah.

Pengujian Layanan Jaringan:

  1. Jalankan OpenVAS dengan SEMUA plugin.

  2. Jalankan NMAP dengan pemindaian TCP / UDP penuh. Hapus semua yang tidak Anda butuhkan.

Jika Anda tidak dapat memperbaiki salah satu masalah, lebih tinggi profesional.

Benteng
sumber
0

"Tolong jangan daftar hitam seluruh negara, atau bahkan blok alamat besar. Pertimbangkan implikasi dari tindakan ini. Bahkan memblokir alamat tunggal dapat memblokir konektivitas ke situs Anda untuk sejumlah besar pengguna. Sangat mungkin pemilik sah dari host tidak tahu kotak mereka telah dikirim. "

Saya pikir itu sepenuhnya tergantung pada jenis situs web, dan audiens yang dituju, apakah memblokir seluruh negara itu bijaksana atau tidak. Tentu, pemilik sah host di Shanghai mungkin tidak tahu komputernya sedang memeriksa situs web milik perusahaan Anda. Tetapi anggap perusahaan Anda memiliki pemirsa lokal, atau menganggap situs web itu adalah portal Outlook Web Access untuk karyawan Anda - apakah itu masalah memblokir situs web untuk pengguna dari Shanghai?

Tentu saja netralitas bersih adalah hal yang baik, tetapi tidak semua situs web harus melayani audiens global, dan jika Anda dapat mencegah masalah dengan memblokir akses dari negara-negara yang tidak menyediakan pengunjung situs web yang sah - mengapa tidak melakukannya?


sumber
0

Memberitahu kontak pelecehan di Cina tidak mungkin.

Mereka tidak akan bereaksi, seringkali, alamat email penyalahgunaan ini bahkan tidak ada.

Saya memblokir semua alamat ip cina, atau setidaknya memagarinya dan membatasi akses mereka ke minimum.

Daniel W.
sumber
Selamat Datang di Kesalahan Server. Ini adalah situs tanya jawab, bukan forum diskusi, jadi jawaban sebenarnya harus menjawab pertanyaan . Setelah Anda memiliki reputasi yang cukup di situs, Anda akan dapat meninggalkan komentar pada pertanyaan dan jawaban lainnya .
Michael Hampton