Chinese Hacker-Bots กำลังพยายามใช้ประโยชน์จากระบบของเรา 24/7

เว็บไซต์ของเราถูกโจมตีอย่างต่อเนื่องจากบ็อตที่มีการแก้ไขที่อยู่ IP ไปยังประเทศจีนพยายามใช้ประโยชน์จากระบบของเรา ในขณะที่การโจมตีของพวกเขาพิสูจน์แล้วว่าไม่สำเร็จ แต่ก็เป็นการระบายทรัพยากรของเซิร์ฟเวอร์อย่างต่อเนื่อง ตัวอย่างของการโจมตีจะมีลักษณะเช่นนี้:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

พวกเขากำลังโจมตีเซิร์ฟเวอร์ของเราอย่าง 24/7 ตลอดเวลาหลายวินาทีต่อวินาทีเพื่อหาช่องโหว่ ที่อยู่ IP นั้นแตกต่างกันเสมอดังนั้นการเพิ่มกฎให้กับไฟร์วอลล์สำหรับการโจมตีเหล่านี้จะทำหน้าที่เป็นวิธีแก้ปัญหาระยะสั้นเท่านั้นก่อนที่จะเริ่มต้นอีกครั้ง

ฉันกำลังมองหาแนวทางที่แข็งแกร่งในการระบุตัวผู้โจมตีเหล่านี้เมื่อมีการให้บริการเว็บไซต์ มีวิธีการเขียนโปรแกรมเพื่อเพิ่มกฎให้ IIS เมื่อระบุที่อยู่ IP หรือวิธีที่ดีกว่าเพื่อป้องกันการร้องขอเหล่านี้หรือไม่

ยินดีต้อนรับความคิดหรือแนวทางแก้ไขปัญหาสำหรับการระบุและบล็อกที่อยู่ IP เหล่านี้ ขอบคุณ!

โปรดอย่าขึ้นบัญชีดำทั้งประเทศหรือบล็อกที่อยู่ขนาดใหญ่

พิจารณาความหมายของการกระทำเหล่านี้ แม้แต่การบล็อกที่อยู่เดียวก็สามารถปิดกั้นการเชื่อมต่อกับเว็บไซต์ของคุณสำหรับผู้ใช้จำนวนมาก 0wnedมันเป็นไปได้ทั้งหมดเจ้าของถูกต้องตามกฎหมายของครอบครัวไม่ทราบว่ากล่องของพวกเขาได้รับ

คุณแสดงปริมาณการใช้ข้อมูลที่มา "24/7" ... แต่ฉันจะขอให้คุณประเมินว่าแหล่งข้อมูลของคุณมีความสำคัญจริง ๆ หรือไม่

ตรวจสอบตัวเลือกของคุณ ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ของคุณมีความแข็งแน่นอนดำเนินการประเมินความเสี่ยงของคุณเองและตรวจสอบรหัสเว็บไซต์ของคุณ มองเข้าไปในอัตราผ่อนต่อแหล่งที่มา , ไฟร์วอลล์โปรแกรมประยุกต์บนเว็บและไม่ชอบ รักษาความปลอดภัยไซต์ของคุณรักษาทรัพยากรของคุณและทำสิ่งที่สมเหตุสมผลสำหรับความต้องการทางธุรกิจของคุณ

ฉันบอกว่านี่เป็นคนที่มีบริการที่เคยถูกบล็อกโดยGreat Firewall of China เป็นประจำ หากไซต์ของคุณมีสภาพดีพอพวกเขาอาจจะบล็อกผู้ใช้ของพวกเขาไม่ให้มาหาคุณ !

ฉันบล็อกทั้งประเทศ คนจีนซื้อสินค้าจากเว็บไซต์ของฉันมากกว่า 3,000 รายการ แต่พวกเขาก็เคยคิดเป็น 18% ของแบนด์วิดท์ของฉัน จาก 18% นั้นประมาณ 60% เป็นบอทที่มองหาสคริปต์เพื่อใช้ประโยชน์

• อัปเดต - หลังจากผ่านไปหลายปีฉันปิดการบล็อกจีน ฉันถูกน้ำท่วมด้วยทราฟฟิกที่ไม่ใช่ ธ ปท. จากคำสำคัญสองสามคำจาก Baidu หลังจากเข้าชมประมาณ 400,000 ครั้งต่อสัปดาห์ฉันได้ขายเพียงครั้งเดียวหลังจากฉันสร้างหน้าพิเศษเป็นภาษาจีนตัวย่อ ไม่คุ้มกับแบนด์วิดท์ ฉันจะกลับไปปิดกั้นพวกเขา

คุณสามารถตั้งกฎ htaccess ง่าย ๆ เพื่อเปลี่ยนเส้นทางไปยัง FBI เวอร์ชันภาษาจีนทุกครั้งที่ค้นหาสิ่งที่เริ่มต้นด้วย phpmyadmin โดยไม่มีกรณี

คุณสามารถลองมองหาsnortซึ่งเป็นระบบตรวจจับการบุกรุก (ค้นหาในวิกิพีเดียเพราะฉันไม่สามารถเชื่อมโยงมากกว่าหนึ่ง URL) ตรวจสอบว่าไฟร์วอลล์ของคุณมีบางอย่างอยู่แล้ว IDS จะสแกนทราฟฟิกที่เข้ามาและหากเห็นว่ามีการใช้ช่องโหว่นั้นจะรู้ได้ว่าสามารถบล็อกมันบนไฟร์วอลล์ได้

นอกเหนือจากนั้นคุณไม่สามารถทำอะไรได้มากนัก ฉันจะไม่แจ้งให้ผู้ติดต่อที่ไม่เหมาะสมทราบว่าที่อยู่ IP ไม่น่าจะเกิดอะไรขึ้นเว้นแต่คุณจะเห็นการโจมตีจำนวนมากจากที่อยู่ IP เดียว ข้อเสนอแนะอื่น ๆ เท่านั้นคือทำให้เซิร์ฟเวอร์ของคุณทันสมัยและสคริปต์บุคคลที่สามที่คุณใช้เป็นปัจจุบันดังนั้นคุณจะไม่ตกเป็นเหยื่อของการโจมตีเหล่านี้

ดีตามที่APNICรีจิสทรีของIANAที่อยู่ IP 58.223.238.6 เป็นส่วนหนึ่งของบล็อกที่ได้รับมอบหมายไปยังประเทศจีนโทรคมนาคม - กับบล็อกทั้งเป็น 58.208.0.0 - 58.223.255.255 ฉันไม่แน่ใจว่าวิธีที่คุณต้องการที่จะเข้าใกล้มัน หากเป็นฉันฉันจะปิดกั้นช่วงที่อยู่ทั้งหมดในกฎของฉันและทำตามนั้น แต่นั่นอาจเป็นนโยบายแผ่นดินที่ไหม้เกรียมมากเกินไปเพื่อให้คุณสบายใจ

ฉันไม่ได้เป็นผู้ดูแลเว็บคุณควรนำสิ่งนี้ไปด้วยเม็ดเกลือ แต่คุณอาจสามารถสร้างบางสิ่งบางอย่างที่ตรวจสอบการเข้าถึงจากชุดของช่วง IP (จีน) แล้วให้พวกเขาบูตหากมีกิจกรรมที่ชี้ไปที่ ความพยายามในการหาประโยชน์

HTH

อาจถึงเวลาที่จะมองหาโซลูชันฮาร์ดแวร์ที่ดี Cisco ASA ที่มีโมดูล IPS นั้นใกล้เคียงกับความแข็งแกร่งในแบบที่คุณต้องการ

http://www.cisco.com/en/US/products/ps6825/index.html

เครื่องใช้ฮาร์ดแวร์ระดับองค์กรของ McAfee (การซื้อซีรีส์ Sidewinder แบบเดิมของ Secure Computing) มีคุณสมบัติตำแหน่งทางภูมิศาสตร์ที่ให้คุณใช้ตัวกรองกับประเทศหรือภูมิภาคเฉพาะ อาจเป็นเรื่องยากที่จะได้รับความสมดุลแม้ว่าคุณจะมีปริมาณการเข้าชมที่ถูกต้องจากจีนเช่นกัน

หากคุณใช้ IIS - มีโปรแกรมที่ดีที่เรียกว่า IISIP จาก hdgreetings dot com ที่จะอัปเดตรายการบล็อกเซิร์ฟเวอร์ของคุณด้วย IP หรือ Range โดยใช้ไฟล์ข้อความที่กำหนดเองหรือบล็อกจีนหรือเกาหลีโดยใช้รายการอัปเดตจาก Okean dot com

ส่วนหนึ่งของตรรกะในการหยุดนี่คือถ้าพวกเขาถูกบล็อกเท่านั้น - มันใช้ทรัพยากรเซิร์ฟเวอร์เพื่อบล็อกและพวกเขาพยายามต่อไป หากพวกเขาถูกเปลี่ยนเส้นทางไปยังวง - มันใช้เซิร์ฟเวอร์ของพวกเขาแทน เช่นกัน - หากพวกเขาถูกนำไปยังวัสดุเซ็นเซอร์ - พวกเขาจะถูกเซ็นเซอร์โดยระบบของตัวเองและอาจป้องกันไม่ให้ส่งคืน

สำหรับปัญหาของแฮ็กเกอร์บอทที่พยายาม phpmyadmin ฯลฯ วิธีแก้ปัญหาของฉันคือการอ่านไฟล์บันทึกของฉันและสร้างโฟลเดอร์ทั้งหมดใน wwwroot ที่พวกเขากำลังมองหาจากนั้นใส่ชื่อไฟล์ php ที่พวกเขาพยายามเข้าถึง ไฟล์ php แต่ละไฟล์จะมีการเปลี่ยนเส้นทางไปยังที่อื่น - ดังนั้นเมื่อพวกเขาเข้าถึงมัน - มันจะส่งพวกเขาไปที่อื่น ในฐานะที่เป็นเว็บของฉันทั้งหมดใช้ส่วนหัวของโฮสต์ - มันไม่ได้ส่งผลกระทบต่อพวกเขาเลย การค้นหาของ Google จะให้ข้อมูลเกี่ยวกับวิธีการเขียนสคริปต์ PHP ง่าย ๆ สำหรับการเปลี่ยนเส้นทาง ในกรณีของฉันฉันส่งพวกเขาไปที่โครงการ honeypot หรือส่งพวกเขาไปยังสคริปต์ที่สร้างอีเมลขยะที่ไม่มีที่สิ้นสุดในกรณีที่พวกเขากำลังเก็บเกี่ยว อีกทางเลือกหนึ่งคือการเปลี่ยนเส้นทางพวกเขากลับไปที่ไอพีของตัวเองหรือสิ่งที่พวกเขาจะตรวจสอบตัวเอง

สำหรับบอทแฮ็กเกอร์ ftp พจนานุกรมจีนโดยใช้ IIS มีสคริปต์ที่ดีที่เรียกว่า banftpips ซึ่งจะเพิ่ม IP ของผู้โจมตีลงในรายการที่ห้ามเมื่อมีความพยายามที่ล้มเหลวโดยอัตโนมัติ มันค่อนข้างยุ่งยากในการทำงาน แต่ทำงานได้ดีเป็นพิเศษ วิธีที่ดีที่สุดที่จะทำให้มันใช้งานได้คือการใช้สคริปต์หลายสำเนาโดยใช้ชื่อที่ลองใช้ครั้งแรกเนื่องจากสคริปต์ดูเหมือนจะยอมรับเพียงชื่อเดียวมากกว่าอาร์เรย์ ตัวอย่าง: ผู้ดูแลระบบผู้ดูแลระบบแอ๊บบี้และอื่น ๆ มันสามารถพบได้โดย google

โซลูชันเหล่านี้ทำงานบน IIS5 Win2K และอาจใช้กับ IIS ที่ใหม่กว่าด้วยเช่นกัน

ติดตั้งไฟร์วอลล์เซิร์ฟเวอร์ตั้งค่า (CSF) และตั้งค่าความปลอดภัยเพื่อบล็อกใด ๆ ที่ hammers

เราเรียกใช้มันบนเซิร์ฟเวอร์ทั้งหมดของเรา

ก่อนอื่นให้แน่ใจว่าทุกอย่างทันสมัย ซ่อนบริการชอบ(!!!) phpMyAdmin (!!!) คุณควรทำwhoisกับที่อยู่ IP เหล่านี้และรายงานกิจกรรมนี้ไปยังที่อยู่อีเมลที่ไม่เหมาะสมของพวกเขา แต่มันอาจเป็นรัฐบาลจีนดังนั้นคุณจะให้อะไรพวกเขาหัวเราะ นี่คือข้อมูลเกี่ยวกับการรายงานปัญหาไปยัง FBI

ในความเป็นจริงทั้งหมดคุณต้องคำนึงถึงเรื่องของตัวเอง คุณต้องทดสอบเซิร์ฟเวอร์ของคุณเพื่อหาช่องโหว่ก่อนที่จะพบช่องโหว่

การทดสอบแอปพลิเคชันเว็บ:

1. NTOSpier ($$$) - ดีมากและนี่อาจเป็นเทคโนโลยีที่ดีกว่าที่พวกเขามี
2. Acunetix ($) - ดี แต่ไม่ดี มันจะพบปัญหา
3. Wapiti และ w3af (โอเพ่นซอร์ส) คุณควรรันทั้งสองอย่าง คุณควรรันโมดูลการโจมตี w3af ทุกตัวที่มีอยู่ แม้ว่าคุณจะไปกับ acuentix หรือ ntospider คุณยังควรใช้ w3af แต่ก็มีโอกาสที่จะพบปัญหาเพิ่มเติม

การทดสอบบริการเครือข่าย:

1. เรียกใช้OpenVASด้วยปลั๊กอินทั้งหมด

2. รันNMAPด้วยการสแกน TCP / UDP เต็มรูปแบบ ไฟร์วอลล์ทุกอย่างที่คุณไม่ต้องการ

หากคุณไม่สามารถแก้ไขปัญหาใด ๆ ได้ให้ผู้เชี่ยวชาญที่สูงกว่า

"โปรดอย่าขึ้นบัญชีดำทั้งประเทศหรือบล็อกที่อยู่ขนาดใหญ่พิจารณาความหมายของการกระทำเหล่านี้แม้แต่การบล็อกที่อยู่เดียวก็สามารถปิดกั้นการเชื่อมต่อไปยังเว็บไซต์ของคุณสำหรับผู้ใช้จำนวนมาก ไม่ทราบว่ากล่องของตนถูกใส่แล้ว "

ฉันคิดว่ามันขึ้นอยู่กับประเภทของเว็บไซต์และกลุ่มเป้าหมายไม่ว่าจะปิดกั้นทั้งประเทศหรือไม่ก็ตาม แน่นอนว่าเจ้าของที่ถูกกฎหมายของโฮสต์ในเซี่ยงไฮ้อาจไม่ทราบว่าคอมพิวเตอร์ของเขากำลังตรวจสอบเว็บไซต์ที่เป็นของ บริษัท ของคุณ แต่สมมติว่า บริษัท ของคุณมีผู้ชมในท้องถิ่นหรือสมมติว่าเว็บไซต์เป็นพอร์ทัล Outlook Web Access สำหรับพนักงานของคุณ - มันเป็นปัญหาหรือไม่ที่บล็อกเว็บไซต์สำหรับผู้ใช้จากเซี่ยงไฮ้

แน่นอนว่าความเป็นกลางสุทธิเป็นสิ่งที่ดี แต่ไม่ใช่ว่าทุกเว็บไซต์จะต้องให้บริการผู้ชมทั่วโลกและหากคุณสามารถป้องกันปัญหาด้วยการบล็อกการเข้าถึงจากประเทศที่ไม่ได้ให้ผู้เข้าชมเว็บไซต์ที่ถูกต้อง - ทำไมไม่ทำเช่นนั้น?

การแจ้งการติดต่อที่ไม่เหมาะสมในประเทศจีนเป็นไปไม่ได้

พวกเขาจะไม่ตอบสนองบ่อยครั้งที่อยู่อีเมลการละเมิดเหล่านี้ไม่มีอยู่จริง

ฉันกำลังปิดกั้นที่อยู่ IP จีนทั้งหมดหรืออย่างน้อยก็ปิดกั้นพวกเขาและ จำกัด การเข้าถึงให้น้อยที่สุด