Hackers-Bots chineses tentando explorar nossos sistemas 24/7

Nossos sites são constantemente atacados por bots com endereços IP resolvendo para a China, tentando explorar nossos sistemas. Embora seus ataques não sejam bem-sucedidos, eles são uma constante perda de recursos dos nossos servidores. Uma amostra dos ataques teria a seguinte aparência:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Eles estão atingindo nossos servidores literalmente 24/7, várias vezes por segundo, procurando encontrar uma exploração. Os endereços IP são sempre diferentes, portanto, adicionar regras ao firewall para esses ataques serve apenas como soluções de curto prazo antes de reiniciar.

Estou procurando uma abordagem sólida para identificar esses invasores quando o site é veiculado. Existe uma maneira programática de adicionar regras ao IIS ao identificar um endereço IP ou uma maneira melhor de bloquear essas solicitações?

Quaisquer idéias ou soluções para identificar e bloquear esses endereços IP serão muito bem-vindas. Obrigado!

Não coloque na lista negra países inteiros ou blocos de endereços grandes.

Considere as implicações dessas ações. Mesmo o bloqueio de um único endereço pode bloquear a conectividade do seu site para um número significativo de usuários . É perfeitamente possível que os proprietários legítimos dos anfitriões não saibam que suas caixas foram 0wned.

Você mostrou o tráfego chegando "24/7" ... mas eu pediria que você avaliasse se a drenagem de seus recursos é realmente significativa (vejo três ocorrências por segundo no máximo nesse snippet de log).

Investigue suas opções. Verifique se seus servidores estão realmente protegidos, faça sua própria avaliação de vulnerabilidade e revise o código do seu site. Analise limitadores de taxa por fonte , firewalls de aplicativos da Web e similares. Proteja seu site, preserve seus recursos e faça o que for adequado às suas necessidades de negócios.

Digo isso como alguém cujos serviços costumavam ser regularmente bloqueados pelo Grande Firewall da China . Se o seu site acabar sendo bom o suficiente, talvez eles até impeçam os usuários de acessá-lo !

Eu bloqueio países inteiros. Os chineses compraram APENAS um único item em mais de 3000 dos meus sites e, no entanto, eles representavam 18% da minha largura de banda. Desses 18%, cerca de 60% eram bots procurando scripts para explorar.

• atualização - Depois de muitos anos, desliguei o bloqueio da China. Fui inundado com tráfego real não bot em alguns termos importantes do Baidu. Após cerca de 400.000 acessos ao longo de uma semana, fiz uma venda somente depois de criar uma página especial em chinês simplificado. Não vale a largura de banda. Vou voltar a bloqueá-los.

Você também pode configurar uma regra simples de htaccess para redirecioná-los para a versão chinesa do FBI toda vez que procurar algo que comece com phpmyadmin sem maiúsculas e minúsculas.

Você pode tentar examinar o snort, que é um sistema de detecção de intrusões (procure-o na Wikipedia, pois não consigo vincular mais de um URL). Verifique se o seu firewall já pode ter algo. Um IDS verifica o tráfego recebido e, se vê uma exploração, sabe sobre isso e pode bloqueá-lo no firewall.

Além disso, não há muito o que você possa fazer. Eu não me incomodaria em notificar o contato de abuso do endereço IP, pois é improvável que isso ocorra a menos que você veja muitos ataques de um único endereço IP. Apenas outra sugestão é manter seus servidores atualizados e quaisquer scripts de terceiros que você use atualizados para não se tornar vítima de um desses ataques.

Bem, de acordo com o registro apnic de iana , o endereço IP 58.223.238.6 faz parte de um bloco atribuído à China Telecom - com todo o bloco sendo 58.208.0.0 - 58.223.255.255. Não sei exatamente como você deseja abordá-lo. Se fosse eu, bloquearia todo o intervalo de endereços nas minhas regras e terminaria. Mas isso pode ser uma política de terra arrasada demais para você se sentir confortável.

Como não sou administrador da Web, leve isso com um pouco de sal, mas você poderá criar algo que monitore o acesso a partir de um conjunto de intervalos de IP (China) e, em seguida, inicialize-os se houver atividade que aponte para tentativas de exploração.

HTH

Talvez seja hora de procurar uma boa solução de hardware. Um Cisco ASA com um módulo IPS seria o mais próximo possível do sólido.

http://www.cisco.com/en/US/products/ps6825/index.html

Os appliances de hardware corporativos da McAfee (uma aquisição da antiga série Secure Computing Sidewinder) possuem um recurso de localização geográfica que permite aplicar filtros a países ou regiões específicos. Pode ser complicado obter o equilíbrio certo, se você também tiver muito tráfego legítimo da China.

Se você estiver usando o IIS - existe um bom programa chamado IISIP do hdgreetings dot com que atualiza as listas de bloqueios do servidor por IP ou Range usando um arquivo de texto personalizado ou também bloqueia a China ou a Coréia usando inteiramente as listas de atualizações do Okean dot com.

Parte da lógica para interromper isso é que, se forem bloqueados apenas - ele consome recursos do servidor para bloquear e eles continuam tentando. Se eles são redirecionados para um loop - eles consomem seus servidores. Também - se forem direcionados a materiais censurados - serão, por sua vez, censurados por seu próprio sistema e possivelmente impedidos de retornar.

Para o problema dos bots hackers tentando o phpmyadmin etc., minha solução foi ler meus arquivos de log e criar todas as pastas no wwwroot que eles estão procurando, e colocar em cada um os nomes de arquivos php que eles tentam acessar. Cada arquivo php simplesmente contém um redirecionamento para outro lugar - então, quando o acessam - ele os envia para outro lugar. Como minhas redes estão usando cabeçalhos de host - isso não os afeta. Uma pesquisa no Google fornecerá informações sobre como escrever um script php muito simples para redirecionamento. No meu caso, eu os envio para o projeto honeypot ou para um script que gera infinitos e-mails indesejados, caso estejam coletando. Outra alternativa é redirecioná-los de volta para seu próprio ip ou para algo que eles próprios irão se censurar.

Para os bots de hackers do dicionário ftp da China usando o IIS, existe um bom script chamado banftpips que adicionará automaticamente o IP do invasor à lista de proibições em tentativas falhas. É um pouco complicado começar a trabalhar, mas funciona excepcionalmente bem. A melhor maneira de fazê-lo funcionar é usar várias cópias do script usando o nome tentado pela primeira vez, pois o script parece aceitar apenas um nome em vez de uma matriz. Exemplo: administrador, administrador, abby etc. Ele também pode ser encontrado pelo google.

Essas soluções funcionam no IIS5 Win2K e provavelmente também no IIS mais recente.

Instale o Config Server Firewall (CSF) e defina a segurança para bloquear qualquer um que seja um martelo.

Executamos em todos os nossos servidores.

Antes de tudo, verifique se tudo está atualizado. Ocultar serviços como (!!!) phpmyadmin (!!!) . Também seria uma boa idéia fazer um whois nesses endereços IP e relatar esta atividade ao endereço de email de abuso. Mas provavelmente é o governo chinês, então você lhes dará algo para rir. Aqui estão as informações sobre como relatar o problema ao FBI.

Em toda a realidade, você precisa resolver o assunto com suas próprias mãos. Você precisa testar o seu servidor em busca de vulnerabilidades antes de encontrar uma.

Teste de aplicativos da Web:

1. NTOSpier ($$$) - Muito bom, e essa provavelmente é a melhor tecnologia que eles têm.
2. Acunetix ($) - Bom, mas não ótimo. Vai encontrar problemas.
3. Wapiti e w3af (código aberto), você deve executar os dois. Você deve executar todos os módulos de ataque w3af disponíveis. Mesmo se você usar o acuentix ou o ntospider, ainda deverá executar o w3af, há uma chance de encontrar mais problemas.

Teste de serviços de rede:

1. Execute o OpenVAS com TODOS os plugins.

2. Execute o NMAP com uma varredura completa de TCP / UDP. Firewall tudo fora do que você não precisa.

Se você não conseguir resolver nenhum dos problemas, avalie um profissional.

"Por favor, não coloque na lista negra países inteiros ou blocos de endereços grandes. Considere as implicações dessas ações. Mesmo o bloqueio de um único endereço pode bloquear a conectividade ao seu site para um número significativo de usuários. É perfeitamente possível que os proprietários legítimos dos hosts não sabem que suas caixas foram 0 ".

Penso que depende inteiramente do tipo de site e do público-alvo, se é sensato bloquear ou não países inteiros. Certamente, o legítimo proprietário de um host em Xangai talvez não saiba que o computador dele está investigando um site pertencente à sua empresa. Mas suponha que sua empresa tenha um público local ou que o site seja o portal do Outlook Web Access para seus funcionários - é um problema bloquear o site para usuários de Xangai?

É claro que a neutralidade da rede é uma coisa boa, mas nem todos os sites necessariamente precisam atender a um público global e, se você pode evitar problemas ao bloquear o acesso de países que não fornecem visitantes legítimos, por que não?

Informar o contato de abuso na China é impossível.

Eles não reagem, frequentemente, esses endereços de email de abuso nem sequer existem.

Estou bloqueando todos os endereços IP chineses, ou pelo menos bloqueando-os e limitando seu acesso ao mínimo.