'บอตที่ไม่ดี' เหล่านี้ค้นหาเว็บเซิร์ฟเวอร์ที่ปิดของฉันได้อย่างไร

8

ฉันได้ติดตั้ง Apache มาแล้วและดูที่ access.log ของฉันอย่างรวดเร็วแสดงว่า IP ที่ไม่รู้จักทั้งหมดกำลังเชื่อมต่อส่วนใหญ่มีรหัสสถานะ 403, 404, 400, 408 ฉันไม่รู้ว่าพวกเขากำลังค้นหาอะไร IP ของฉันเพราะฉันใช้เพื่อการใช้งานส่วนตัวและเพิ่ม robots.txt โดยหวังว่ามันจะทำให้เครื่องมือค้นหาหายไป ฉันบล็อกดัชนีและไม่มีอะไรสำคัญเลย

บอทเหล่านี้ (หรือคน) ค้นหาเซิร์ฟเวอร์ได้อย่างไร มันเป็นเรื่องธรรมดาหรือเปล่าที่จะเกิดขึ้น? การเชื่อมต่อเหล่านี้เป็นอันตราย / ฉันจะทำอะไรได้บ้าง?

นอกจากนี้ IP จำนวนมากมาจากทุกประเทศและไม่แก้ไขชื่อโฮสต์

นี่คือตัวอย่างของสิ่งที่เกิดขึ้น:

ในการกวาดครั้งใหญ่บอทนี้พยายามค้นหา phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

ฉันได้รับสิ่งเหล่านี้มากมาย:

"HEAD / HTTP/1.0" 403 - "-" "-"

"proxyheader.php" จำนวนมากฉันได้รับคำขอค่อนข้างมากด้วยลิงก์ http: // ใน GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"การเชื่อมต่อ"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

และอึหกเหลี่ยมที่ร่างจริงๆนี้ ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

ว่างเปล่า

"-" 408 - "-" "-"

นั่นเป็นเพียงส่วนสำคัญของมัน ฉันได้รับขยะทุกประเภทแม้กับตัวแทนผู้ใช้ win95

ขอบคุณ

apache-2.2  web-crawler 
bryc
แหล่งที่มา

คำตอบ:

13

ยินดีต้อนรับสู่อินเทอร์เน็ต :)

  • พวกเขาพบคุณได้อย่างไร:โอกาสกำลังดุร้ายกำลังสแกน IP เช่นเดียวกับสตรีมของช่องโหว่สแกนบนโฮสต์ของคุณเมื่อพวกเขาพบมัน
  • เพื่อป้องกันในอนาคต:ในขณะที่ไม่สามารถหลีกเลี่ยงได้โดยสมบูรณ์คุณสามารถยับยั้งเครื่องมือความปลอดภัยเช่น Fail2Ban บน Apache หรือขีด จำกัด อัตรา - หรือห้ามด้วยตนเอง - หรือตั้งค่า ACL ของ
  • เป็นเรื่องธรรมดามากที่จะเห็นสิ่งนี้บนฮาร์ดแวร์ที่เข้าถึงได้ภายนอกซึ่งตอบสนองต่อพอร์ตทั่วไป
  • เป็นอันตรายหากคุณมีซอฟต์แวร์เวอร์ชันที่ไม่ตรงกันในโฮสต์ที่อาจเสี่ยง สิ่งเหล่านี้เป็นเพียงความพยายามที่คนตาบอดเพื่อดูว่าคุณมีอะไรเจ๋ง ๆ สำหรับสคริปต์ตัวเล็ก ๆ คิดว่ามันเป็นใครบางคนที่เดินไปรอบ ๆ ลานจอดรถพยายามที่จะเปิดประตูรถเพื่อดูว่าพวกเขาถูกปลดล็อคหรือไม่ให้แน่ใจว่าคุณเป็น
thinice
แหล่งที่มา
2
วิธีหนึ่งในการลดพื้นผิวการโจมตีของคุณไปยังการสแกนอัตโนมัติคือการเรียกใช้เว็บเซิร์ฟเวอร์ของคุณบนพอร์ตที่ไม่ได้มาตรฐาน หากคุณใช้งานเว็บเซิร์ฟเวอร์เพียงเพื่อการใช้งานส่วนตัวโอกาสนี้จะเป็นที่ยอมรับได้ ซึ่งจะไม่ทำอะไรเลยเพื่อป้องกันการโจมตีเป้าหมายต่อระบบเฉพาะของคุณ เป็นความคิดที่ดีในการตั้งค่าไฟร์วอลล์เพื่อให้ระบบของคุณเข้าสู่ "โหมดซ่อนตัว" เพื่อป้องกันการเข้าถึงบริการที่ไม่ต้องการ ซึ่งรวมถึงการปิดกั้นคำขอ ICMP Echo ฯลฯ
ต่อ von Zweigbergk
1

นี่เป็นเพียงคนที่พยายามหาช่องโหว่ในเซิร์ฟเวอร์ เกือบจะเสร็จสิ้นอย่างแน่นอนโดยเครื่องที่ประกอบด้วย

มันจะเป็นแค่คนสแกน IP บางช่วง - คุณสามารถดูได้จาก phpMyAdmin หนึ่งว่ากำลังพยายามค้นหา PMA รุ่นที่ติดตั้งไว้อย่างไม่ปลอดภัย เมื่อเจอแล้วจะสามารถเข้าถึงระบบได้อย่างน่าประหลาดใจ

ตรวจสอบให้แน่ใจว่าระบบของคุณทันสมัยและคุณไม่มีบริการใด ๆ ที่ไม่จำเป็น

Martin Alderson
แหล่งที่มา
นอกจากนี้ไฟล์ robots.txt ยังสามารถนำไปสู่การโจมตีโดยตรง หากคุณมีสิ่งที่คุณไม่ต้องการให้คนเห็นอย่าโฆษณาในไฟล์ robots.txt ของคุณ ... ปกป้องด้วย ACL และการเข้าถึงที่ผ่านการรับรองความถูกต้อง
ทักซิโดแดง
1

หุ่นยนต์เหล่านี้กำลังค้นหาช่องโหว่ด้านความปลอดภัยที่รู้จัก พวกเขาเพียงแค่สแกนช่วงเครือข่ายทั้งหมดและจะค้นหาเซิร์ฟเวอร์ที่ไม่ได้แปลงเช่นคุณ พวกเขาเล่นได้ไม่ดีและไม่สนใจ robots.txt ของคุณ หากพวกเขาพบช่องโหว่พวกเขาจะเข้าสู่ระบบ (และคุณสามารถคาดหวังการโจมตีด้วยตนเองในไม่ช้า) หรือจะติดเครื่องโดยอัตโนมัติด้วยรูทคิทหรือมัลแวร์ที่คล้ายกัน มีน้อยมากที่คุณสามารถทำสิ่งนี้ได้และเป็นเพียงธุรกิจปกติบนอินเทอร์เน็ต นี่เป็นเหตุผลที่สำคัญที่ต้องติดตั้งโปรแกรมแก้ไขความปลอดภัยล่าสุดสำหรับซอฟต์แวร์ของคุณ

อิงมาร์ฮอปป์
แหล่งที่มา
1

ดังที่คนอื่น ๆ ระบุไว้พวกเขามีแนวโน้มที่จะทำการสแกนแบบเดรัจฉาน หากคุณอยู่ในที่อยู่ IP แบบไดนามิกพวกเขาอาจมีแนวโน้มที่จะสแกนที่อยู่ของคุณ (คำแนะนำต่อไปนี้จะถือว่า Linux / UNIX แต่ส่วนใหญ่อาจใช้กับเซิร์ฟเวอร์ Windows)

วิธีที่ง่ายที่สุดในการบล็อกคือ:

  • ไฟร์วอลล์พอร์ต 80 และอนุญาตให้เฉพาะช่วงที่อยู่ IP ที่ จำกัด ในการเข้าถึงเซิร์ฟเวอร์ของคุณ
  • กำหนดค่า ACL ในการกำหนดค่า apache ของคุณซึ่งอนุญาตเฉพาะที่อยู่บางแห่งในการเข้าถึงเซิร์ฟเวอร์ของคุณ (คุณสามารถมีกฎที่แตกต่างกันสำหรับเนื้อหาที่แตกต่างกัน)
  • ต้องการการรับรองความถูกต้องสำหรับการเข้าถึงจากอินเทอร์เน็ต
  • เปลี่ยนลายเซ็นเซิร์ฟเวอร์เพื่อไม่รวมงานสร้างของคุณ (ไม่เพิ่มความปลอดภัยมากนัก แต่ทำให้การโจมตีเฉพาะเวอร์ชั่นยากขึ้นเล็กน้อย
  • ติดตั้งเครื่องมือเช่น fail2ban เพื่อบล็อกที่อยู่โดยอัตโนมัติ การจับคู่รูปแบบที่เหมาะสมอาจต้องใช้เวลาสักหน่อย แต่หากมีข้อผิดพลาด 400 ซีรี่ส์เป็นเรื่องแปลกสำหรับสายตาของคุณอาจไม่ใช่เรื่องยาก

เพื่อจำกัดความเสียหายที่พวกเขาสามารถทำได้กับระบบของคุณตรวจสอบให้แน่ใจว่ากระบวนการ apache สามารถเขียนไปยังไดเรกทอรีและไฟล์ที่ควรจะสามารถเปลี่ยนแปลงได้เท่านั้น ในกรณีส่วนใหญ่เซิร์ฟเวอร์ต้องการการเข้าถึงเพื่ออ่านเนื้อหาที่ให้บริการเท่านั้น

BillThor
แหล่งที่มา
0

อินเทอร์เน็ตเป็นพื้นที่สาธารณะดังนั้นคำว่า IP สาธารณะ คุณไม่สามารถซ่อนยกเว้นด้วยการตั้งค่าวิธีการปฏิเสธสาธารณะ (vpn, acl บนไฟร์วอลล์, การเข้าถึงโดยตรง ฯลฯ ) การเชื่อมต่อเหล่านี้มีอันตรายเพราะในที่สุดจะมีคนเอาเปรียบคุณเร็วกว่าคุณกำลังทำการปะแก้ไข ฉันจะพิจารณาการรับรองความถูกต้องบางประเภทก่อนตอบกลับ

จิมข
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.