In che modo questi "robot nocivi" trovano il mio server web chiuso?


8

Ho installato Apache qualche tempo fa e una rapida occhiata al mio access.log mostra che tutti i tipi di IP sconosciuti si stanno connettendo, principalmente con un codice di stato 403, 404, 400, 408. Non ho idea di come stiano trovando il mio IP, perché lo uso solo per uso personale e ho aggiunto un robots.txt sperando che avrebbe tenuto lontano i motori di ricerca. Blocco gli indici e non c'è nulla di veramente importante al riguardo.

In che modo questi robot (o persone) trovano il server? È comune che ciò accada? Queste connessioni sono pericolose / cosa posso fare al riguardo?

Inoltre, molti IP provengono da tutti i tipi di paesi e non risolvono un nome host.

Ecco un sacco di esempi di ciò che viene fuori:

in una grande scansione, questo bot ha cercato di trovare phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

ottengo molti di questi:

"HEAD / HTTP/1.0" 403 - "-" "-"

un sacco di "proxyheader.php", ricevo parecchie richieste con i collegamenti http: // nel GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"COLLEGARE"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

e questo schifo esadecimale davvero abbozzato ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

vuoto

"-" 408 - "-" "-"

Questo è solo l'essenza. Ricevo ogni tipo di spazzatura, anche con gli user-agent win95.

Grazie.

Risposte:


13

Benvenuti in Internet :)

  • Come ti hanno trovato: Probabilità, scansione IP a forza bruta. Proprio come il loro flusso costante di scansione delle vulnerabilità sul tuo host una volta trovato.
  • Per prevenire in futuro: anche se non completamente evitabile, puoi inibire strumenti di sicurezza come Fail2Ban su Apache o limiti di velocità - o vietare manualmente - o impostare ACL
  • È molto comune vederlo su qualsiasi hardware accessibile dall'esterno che risponde su porte comuni
  • È pericoloso solo se sull'host sono presenti versioni di software senza patch che potrebbero essere vulnerabili. Questi sono semplicemente tentativi ciechi di vedere se hai qualcosa di "fico" per cui questi kiddie da sceneggiare devono armeggiare. Pensalo come qualcuno che cammina nel parcheggio cercando le porte della macchina per vedere se sono sbloccate, assicurati che lo sia e che probabilmente lascerà il tuo da solo.

2
Un modo per ridurre la superficie di attacco a scansioni automatizzate consiste nell'eseguire il server Web su una porta non standard. Se stai utilizzando il web server solo per uso personale, è probabile che questo sia accettabile. Tuttavia, ciò non farà nulla per proteggere dagli attacchi mirati al tuo sistema specifico. È anche una buona idea impostare un firewall per mettere il sistema in "modalità invisibile" bloccando qualsiasi accesso a servizi indesiderati. Ciò include il blocco delle richieste di eco ICMP ecc.
Per von Zweigbergk,

1

Queste sono solo persone che cercano di trovare vulnerabilità nei server. Quasi certamente fatto da macchine comprese.

Saranno solo le persone a scansionare determinati intervalli IP - si può vedere da phpMyAdmin, che sta cercando di trovare una versione preinstallata male protetta di PMA. Una volta trovato, può ottenere un accesso sorprendente al sistema.

Assicurati che il tuo sistema sia aggiornato e che tu non abbia servizi che non sono richiesti.


Anche il file robots.txt può provocare attacchi diretti. Se hai qualcosa che non vuoi che le persone vedano, non pubblicizzarlo nel tuo file robots.txt ... proteggilo con ACL e accesso autenticato.
Red Tux il

1

Si tratta di robot alla ricerca di exploit di sicurezza noti. Scansionano semplicemente intere gamme di rete e trovano quindi server non pubblicizzati come il tuo. Non stanno giocando bene e non si preoccupano del tuo robots.txt. Se trovano una vulnerabilità, la accederanno (e ci si può aspettare un attacco manuale a breve) o infetteranno automaticamente la tua macchina con un rootkit o malware simile. C'è molto poco che puoi fare al riguardo ed è un normale affare su Internet. Sono il motivo per cui è importante avere sempre le ultime correzioni di sicurezza per il tuo software installato.


1

Come altri hanno già notato, stanno probabilmente eseguendo la scansione della forza bruta. Se si utilizza un indirizzo IP dinamico, è più probabile che eseguano la scansione del proprio indirizzo. (Il seguente consiglio presuppone Linux / UNIX, ma la maggior parte può essere applicata ai server Windows.)

I modi più semplici per bloccarli sono:

  • Porta firewall 80 e consente solo un intervallo limitato di indirizzi IP per accedere al server.
  • Configura ACL (s) nella configurazione di Apache che consente solo a determinati indirizzi di accedere al server. (Puoi avere regole diverse per contenuti diversi.)
  • Richiedi autenticazione per l'accesso da Internet.
  • Modifica la firma del server per escludere la tua build. (Non c'è molta maggiore sicurezza, ma rende gli attacchi specifici della versione un po 'più difficili.
  • Installa uno strumento come fail2ban, per bloccare automaticamente il loro indirizzo. Ottenere i motivi corrispondenti giusti potrebbe richiedere un po 'di lavoro, ma se gli errori della serie 400 non sono comuni per la tua vista potrebbe non essere così difficile.

Per limitare i danni che possono arrecare al tuo sistema, assicurati che il processo apache possa scrivere solo su directory e file che dovrebbe essere in grado di modificare. Nella maggior parte dei casi, il server deve solo accedere in lettura al contenuto che serve.


0

Internet è spazio pubblico, quindi il termine IP pubblico. Non puoi nasconderti se non impostando un modo per negare il pubblico (vpn, acl su un firewall, accesso diretto ecc.). Queste connessioni sono pericolose poiché alla fine qualcuno sarà più veloce nello sfruttarti di quanto tu non sia nel patching. Vorrei prendere in considerazione una sorta di autenticazione prima di rispondere.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.