I pirati informatici cinesi tentano di sfruttare i nostri sistemi 24/7


13

I nostri siti sono costantemente sotto attacco da parte di bot con indirizzi IP che si risolvono in Cina, tentando di sfruttare i nostri sistemi. Mentre i loro attacchi si stanno rivelando senza successo, sono un costante drenaggio delle risorse dei nostri server. Un esempio degli attacchi sarebbe simile al seguente:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Stanno colpendo letteralmente i nostri server 24/7, più volte al secondo, cercando di trovare un exploit. Gli indirizzi IP sono sempre diversi, quindi l'aggiunta di regole al firewall per questi attacchi serve solo come soluzioni a breve termine prima che si riavviino.

Sto cercando un approccio solido per identificare questi aggressori quando viene offerto il sito web. Esiste un modo programmatico per aggiungere regole a IIS al momento di identificare un indirizzo IP o un modo migliore per bloccare queste richieste?

Qualsiasi idea o soluzione per identificare e bloccare questi indirizzi IP sarebbe molto apprezzata. Grazie!


La notifica del contatto di abuso associato all'IP è un inizio. Potrebbero non sapere che il loro IP è l'origine.
jl.

Parlamene! Anche il mio sito Web è costantemente sotto attacco. Ogni giorno c'è un bot alla ricerca di vulnerabilità wordpress. Continuo a bloccarli usando htaccess mentre emettono migliaia di 404!

Risposte:


11

Per favore, non inserire nella black list interi paesi o persino blocchi di indirizzi di grandi dimensioni.

Considera le implicazioni di queste azioni. Anche il blocco di un singolo indirizzo potrebbe bloccare la connettività al tuo sito per un numero significativo di utenti . È del tutto possibile che i legittimi proprietari degli host non sappiano che le loro scatole siano state 0wned.

Hai mostrato traffico proveniente "24/7" ... ma ti chiedo di valutare se il drenaggio delle tue risorse è davvero significativo (vedo tre hit al secondo massimo dallo snippet di registro).

Indaga sulle tue opzioni. Assicurati che i tuoi server siano effettivamente rafforzati, conduci la tua valutazione di vulnerabilità e la revisione del codice del tuo sito. Esaminare i limitatori di velocità per sorgente , i firewall delle applicazioni Web e simili. Proteggi il tuo sito, preserva le tue risorse e fai ciò che ha senso per le tue esigenze aziendali.

Lo dico come qualcuno i cui servizi erano regolarmente bloccati dal Grande Firewall della Cina . Se il tuo sito finisce per essere abbastanza buono, forse impediranno persino ai loro utenti di contattarti !


Con tutto il rispetto, questo è un caso estremo che hai citato. A meno che il suo sito web non sia un portale mondiale dell'educazione, non credo che si applichi. Anche se l'ha accettata come la migliore risposta, non lo consiglierei a persone che incontreranno questa discussione in futuro.
Copia Esegui inizio

Penso che sia ancora valido ed è un buon consiglio, semplicemente perché le botnet sono reti globali e questo tipo di attacchi può provenire da qualsiasi indirizzo IP in tutto il mondo, anche se le persone che controllano la botnet si trovano in un singolo paese, le loro reti non lo sono. La maggior parte delle distribuzioni Linux in questi giorni includono il modulo iptables "recente" per prestazioni per sorgente che limita il numero di connessioni per periodo di tempo. Probabilmente c'è qualcosa a disposizione di Apache per valutare il limite per sorgente in base al numero di pagine di errore http che generano.
BeowulfNode42,

6

Blocco interi paesi. I cinesi hanno acquistato SOLO un singolo articolo da oltre 3000 dei miei siti e tuttavia rappresentavano il 18% della mia larghezza di banda. Di quel 18% circa il 60% era costituito da robot in cerca di script da sfruttare.

  • aggiornamento - Dopo molti anni ho disattivato il blocco della Cina. Sono stato inondato di traffico reale non bot a pochi termini chiave da Baidu. Dopo circa 400.000 visite in una settimana ho effettuato una vendita solo dopo aver creato una pagina speciale in cinese semplificato. Non vale la larghezza di banda. Sto tornando a bloccarli.

Potresti anche impostare una semplice regola htaccess per reindirizzarli alla versione cinese dell'FBI ogni volta che cercano qualcosa che inizia con phpmyadmin senza caso.


2

Puoi provare a esaminare snort che è un sistema di rilevamento delle intrusioni (cercalo su Wikipedia in quanto non riesco a collegare più di un URL). Verifica che il tuo firewall possa già avere qualcosa. Un IDS analizza il traffico in entrata e se vede un exploit che sa che può bloccarlo sul firewall.

A parte questo, non puoi fare molto. Non mi preoccuperei di avvisare il contatto di abuso dell'indirizzo IP poiché è improbabile che ne deriverà nulla a meno che non si vedano molti attacchi da un singolo indirizzo IP. L'unico altro suggerimento è mantenere aggiornati i server e tutti gli script di terze parti utilizzati in modo da non diventare vittima di uno di questi attacchi.


2

Bene, secondo il registro apicale di iana , l'indirizzo IP 58.223.238.6 fa parte di un blocco assegnato a China Telecom - con l'intero blocco 58.208.0.0 - 58.223.255.255. Non sono sicuro di come tu voglia affrontarlo. Se fossi in me, bloccherei l'intero intervallo di indirizzi nelle mie regole e lo farei. Ma potrebbe essere troppo una politica della terra bruciata per farti sentire a tuo agio.

Non sono un amministratore web, quindi prendi questo con un pizzico di sale, ma potresti essere in grado di creare qualcosa che monitora l'accesso da un set di intervalli IP (Cina), e quindi dà loro l'avvio se c'è attività che punta a tentativi di sfruttamento.

HTH


Ho avuto server attaccati e bloccati che racchiudevano sottoreti provenienti dalla Cina per ostacolare il traffico. Ho considerato di fare una mossa più permanente, a meno che non si gestiscano servizi internazionali che richiedono comunicazione con la Cina, non sono sicuro di quale sia il rovescio della medaglia.
ManiacZX,

@ManiacZX quello era il mio pensiero. La cosa divertente è che il contatto elencato è anti-spam @ hostingcompany. Parla di ironico.
Holocryptic,

@Maniac - Sfortunatamente, gran parte della nostra attività è in Cina, quindi fare qualsiasi cosa che blocchi grandi sottoreti in Cina sarebbe probabilmente una cattiva idea.
George,

@George, in tal caso, guarderei i sistemi IPS / IDS hardware / software per rilevare e bloccare dinamicamente gli indirizzi IP in quel caso, come hanno suggerito Jason e Vrillusions.
Holocryptic,

1
Un'altra cosa da considerare, ho visto questo usato dal lato della posta, è cercare strumenti che invece di ignorare o rifiutare i pacchetti accetteranno effettivamente la loro richiesta, quindi impiegheranno un po 'a rispondere. Le probabilità sono che i loro strumenti non siano così ben scritti e quindi aspetteranno la tua risposta prima di passare alla prossima. Una risposta in bianco ogni 5 secondi è molto meglio di 100 rifiuti al secondo.
ManiacZX,

2

Potrebbe essere il momento di cercare una buona soluzione hardware. Un Cisco ASA con un modulo IPS sarebbe il più vicino possibile al rock.

http://www.cisco.com/en/US/products/ps6825/index.html


+1 - Non potrei essere più d'accordo con te - non c'è modo all'inferno che importanti server di produzione debbano essere in grado di far fronte direttamente alle richieste - ecco a cosa servono i firewall e / oi sistemi di bilanciamento del carico.
Chopper3

1
In che modo un ASA risolverà questo problema? In particolare, in che modo un ASA risolverà meglio il problema semplicemente bloccando l'IP?
Devicenull,

1

Le appliance hardware aziendali McAfee (un acquisto della precedente serie Secure Computing Sidewinder) hanno una funzione di geolocalizzazione che consente di applicare filtri a determinati paesi o regioni. Può essere difficile ottenere l'equilibrio giusto, anche se si dispone di molto traffico legittimo dalla Cina.


1

Se stai usando IIS - esiste un buon programma chiamato IISIP di hdgreetings dot com che aggiornerà le tue liste di blocchi del server tramite IP o Range usando un file di testo personalizzato o bloccherà anche la Cina o la Corea usando interamente le liste di aggiornamenti di Okean dot com.

Parte della logica nell'arrestare questo è che se sono solo bloccati, consuma risorse del server da bloccare e continuano a provare. Se vengono reindirizzati a un ciclo, consumano invece i loro server. Inoltre, se indirizzati a materiali censurati, saranno a loro volta censurati dal loro stesso sistema e probabilmente impediranno il ritorno.

Per il problema dei robot hacker che cercavano phpmyadmin ecc. La mia soluzione era leggere i miei file di registro e creare tutte le cartelle in wwwroot che stavano cercando, quindi inserire in ognuno i nomi dei file php a cui tentavano di accedere. Ogni file php contiene quindi semplicemente un reindirizzamento verso un altro posto, quindi quando vi accedono, li invia altrove. Dato che i miei siti web usano tutti le intestazioni host, non li influenza affatto. Una ricerca su Google fornirà informazioni su come scrivere uno script php molto semplice per il reindirizzamento. Nel mio caso, li invio al progetto Honeypot o li invio a uno script che genera e-mail spazzatura infinite nel caso in cui stiano raccogliendo. Un'altra alternativa è reindirizzarli sul proprio IP o su qualcosa che si censureranno da soli.

Per i robot hacker del dizionario ftp in Cina che usano IIS c'è un bel script chiamato banftpips che aggiungerà automaticamente l'IP degli aggressori all'elenco dei ban in caso di tentativi falliti. È un po 'complicato farlo funzionare ma funziona eccezionalmente bene. Il modo migliore per farlo funzionare è utilizzare più copie dello script usando il nome provato per la prima volta poiché lo script sembra accettare solo un nome anziché un array. Esempio: amministratore, amministratore, abby ecc. Può essere trovato anche da Google.

Queste soluzioni funzionano su IIS5 Win2K e probabilmente anche su IIS più recenti.


0

Installa Config Server Firewall (CSF) e imposta la sicurezza per bloccare chiunque martelli.

Lo eseguiamo su TUTTI i nostri server.


0

Innanzitutto assicurarsi che tutto sia aggiornato. Nascondi servizi come (!!!) phpmyadmin (!!!) . Sarebbe anche una buona idea fare un whois su questi indirizzi IP e segnalare questa attività al loro indirizzo e-mail di abuso. Ma è probabilmente il governo cinese, quindi darai loro qualcosa per cui ridere. Qui informazioni sulla segnalazione del problema all'FBI.

In tutta la realtà devi prendere in mano la situazione. È necessario testare le vulnerabilità del server prima che ne rilevino una.

Test delle applicazioni Web:

  1. NTOSpier ($$$) - Molto buono, e questa è probabilmente una tecnologia migliore di quella che hanno.
  2. Acunetix ($) - Buono, ma non eccezionale. Troverà problemi.
  3. Wapiti e w3af (open source), dovresti eseguirli entrambi. Dovresti eseguire tutti i moduli di attacco w3af disponibili. Anche se vai con acuentix o ntospider dovresti comunque eseguire w3af, c'è una possibilità che troverà più problemi.

Test dei servizi di rete:

  1. Esegui OpenVAS con TUTTI i plugin.

  2. Esegui NMAP con una scansione TCP / UDP completa. Firewall tutto ciò che non ti serve.

Se non riesci a risolvere nessuno dei problemi, diventa un professionista.


0

"Per favore, non inserire nella black list interi paesi o persino grandi blocchi di indirizzi. Considera le implicazioni di queste azioni. Anche bloccare un singolo indirizzo potrebbe bloccare la connettività al tuo sito per un numero significativo di utenti. È del tutto possibile che i legittimi proprietari degli host non so che le loro scatole sono state create. "

Penso che dipenda interamente dal tipo di sito Web e dal pubblico previsto, sia che sia saggio bloccare interi paesi. Certo, il legittimo proprietario di un host a Shanghai potrebbe non sapere che il suo computer sta sondando un sito Web appartenente alla tua azienda. Ma supponiamo che la tua azienda abbia un pubblico locale o che il sito Web sia il portale di Outlook Web Access per i tuoi dipendenti - è un problema bloccare il sito Web per gli utenti di Shanghai?

Naturalmente la neutralità della rete è una buona cosa, ma non tutti i siti Web devono necessariamente servire un pubblico globale e se è possibile prevenire problemi bloccando l'accesso da paesi che non forniscono visitatori legittimi del sito Web, perché non farlo?


0

Informare il contatto sugli abusi in Cina è impossibile.

Non reagiranno, spesso, questi indirizzi e-mail di abuso non esistono nemmeno.

Sto bloccando tutti gli indirizzi IP cinesi, o almeno li cancello e ne limito al minimo l'accesso.


Benvenuti in Server Fault. Questo è un sito di domande e risposte , non un forum di discussione, quindi le risposte dovrebbero effettivamente rispondere alla domanda . Una volta che hai abbastanza reputazione sul sito, sarai in grado di lasciare commenti su altre domande e risposte .
Michael Hampton
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.