Hacker-Bots chinois tentent d'exploiter nos systèmes 24/7


13

Nos sites sont constamment attaqués par des bots dont les adresses IP se résolvent en Chine, tentant d'exploiter nos systèmes. Bien que leurs attaques s'avèrent infructueuses, elles constituent un drain constant sur les ressources de nos serveurs. Un échantillon des attaques ressemblerait à ceci:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Ils frappent littéralement nos serveurs 24/7, plusieurs fois par seconde, cherchant à trouver un exploit. Les adresses IP sont toujours différentes, donc l'ajout de règles au pare-feu pour ces attaques ne sert que de solutions à court terme avant de redémarrer.

Je recherche une approche solide pour identifier ces attaquants lorsque le site Web est servi. Existe-t-il un moyen par programme d'ajouter des règles à IIS lors de l'identification d'une adresse IP ou un meilleur moyen de bloquer ces demandes?

Toute idée ou solution pour identifier et bloquer ces adresses IP serait la bienvenue. Merci!


Notifier l'abus de contact associé à l'IP est un début. Ils peuvent ne pas savoir que leur IP est la source.
jl.

Parle-moi de ça! Mon site Web est également constamment attaqué. Chaque jour, un bot recherche des vulnérabilités wordpress. Je continue de les bloquer en utilisant htaccess car ils émettent des milliers de 404!

Réponses:


11

Veuillez ne pas mettre sur liste noire des pays entiers , ni même de gros blocs d'adresses.

Considérez les implications de ces actions. Même le blocage d'une seule adresse peut bloquer la connectivité à votre site pour un nombre important d'utilisateurs . Il est tout à fait possible que les propriétaires légitimes des hôtes ne sachent pas que leurs boîtes l'ont été 0wned.

Vous avez montré du trafic venant "24h / 24 et 7j / 7" ... mais je vous demanderais d'évaluer si la consommation de vos ressources est vraiment significative (je vois trois hits par seconde max de cet extrait de journal).

Enquêter sur vos options. Assurez-vous que vos serveurs sont bien renforcés, effectuez votre propre évaluation de vulnérabilité et passez en revue le code de votre site. Examinez les limiteurs de débit par source , les pare - feu d'applications Web , etc. Sécurisez votre site, préservez vos ressources et faites ce qui convient aux besoins de votre entreprise.

Je dis cela comme quelqu'un dont les services étaient régulièrement bloqués par le grand pare-feu de Chine . Si votre site finit par être assez bon, ils empêcheront peut - être même leurs utilisateurs de vous contacter !


Sauf votre respect, c'est un cas extrême que vous avez cité. À moins que son site Web ne soit un portail mondial de l'éducation, je ne pense pas que cela s'applique. Même s'il l'a acceptée comme la meilleure réponse, je ne recommanderais pas cela aux personnes qui tomberont sur ce fil à l'avenir.
Début du cycle de copie

Je pense que cela s'applique toujours et est un bon conseil, simplement parce que les botnets sont des réseaux mondiaux et que ce type d'attaques peut provenir de n'importe quelle adresse IP dans le monde, même si les personnes contrôlant le botnet sont dans un seul pays, leurs réseaux ne le sont pas. La plupart des distributions Linux incluent de nos jours le module iptables "récent" pour effectuer par débit source une limitation du nombre de connexions par période. Il y a probablement quelque chose disponible pour qu'Apache évalue la limite par source en fonction du nombre de pages d'erreur http qu'ils génèrent également.
BeowulfNode42

6

Je bloque des pays entiers. Les Chinois n'ont acheté qu'un seul article sur plus de 3000 de mes sites et pourtant ils représentaient 18% de ma bande passante. Sur ces 18%, environ 60% étaient des robots cherchant des scripts à exploiter.

  • mise à jour - Après de nombreuses années, j'ai désactivé le blocage de la Chine. J'ai été inondé de vrai trafic non-bot à quelques termes clés de Baidu. Après environ 400 000 visites sur une semaine, je n'ai fait qu'une seule vente après avoir créé une page spéciale en chinois simplifié. Ne vaut pas la bande passante. Je recommence à les bloquer.

Vous pouvez également configurer une règle htaccess simple pour les rediriger vers la version chinoise du FBI chaque fois qu'ils recherchent quelque chose commençant par phpmyadmin sans casse.


2

Vous pouvez essayer de chercher Snort qui est un système de détection d'intrusion (recherchez-le sur wikipedia car je ne peux pas lier plus d'une URL). Vérifiez que votre pare-feu contient déjà quelque chose. Un IDS scanne le trafic entrant et s'il voit un exploit qu'il sait, il peut le bloquer sur le pare-feu.

Hormis cela, vous ne pouvez pas vraiment faire grand-chose. Je ne prendrais pas la peine de signaler l'abus de contact de l'adresse IP car il est peu probable que quelque chose en résulte, sauf si vous voyez beaucoup d'attaques à partir d'une seule adresse IP. La seule autre suggestion est de garder vos serveurs à jour et tous les scripts tiers que vous utilisez pour ne pas être victime d'une de ces attaques.


2

Eh bien, selon le registre apnic d' iana , l'adresse IP 58.223.238.6 fait partie d'un bloc attribué à China Telecom - le bloc entier étant 58.208.0.0 - 58.223.255.255. Je ne sais pas exactement comment vous voulez l'aborder. Si c'était moi, je bloquerais toute la plage d'adresses dans mes règles et j'en aurais fini. Mais cela pourrait être trop d'une politique de la terre brûlée pour que vous soyez à l'aise.

Je ne suis pas un administrateur Web, alors prenez cela avec un grain de sel, mais vous pourriez être en mesure de créer quelque chose qui surveille l'accès à partir d'un ensemble de plages IP (Chine), puis leur donne le démarrage s'il y a une activité qui pointe vers tentatives d'exploitation.

HTH


J'ai eu des serveurs attaqués et bloqués englobant des sous-réseaux en provenance de Chine pour nuire au trafic. J'ai envisagé d'en faire un mouvement permanent, à moins de gérer des services internationaux qui nécessitent une communication avec la Chine, je ne sais pas quel serait l'inconvénient.
ManiacZX

@ManiacZX, c'était ma pensée. Le plus drôle, c'est que le contact répertorié est anti-spam @ hostingcompany. Parlez ironique.
Holocryptic

@Maniac - Malheureusement, une grande partie de nos activités est en Chine, donc faire quoi que ce soit qui bloque les grands sous-réseaux en Chine serait probablement une mauvaise idée.
George

@George si c'est le cas, j'examinerais les systèmes matériels / logiciels IPS / IDS pour détecter et bloquer dynamiquement les adresses IP dans ce cas, comme Jason et vrillusions l'ont suggéré.
Holocryptic

1
Une autre chose à considérer, j'ai vu cela utilisé du côté du courrier, est de chercher des outils qui, au lieu d'ignorer ou de rejeter les paquets, accepteront réellement leur demande, puis prendront un certain temps pour répondre. Il y a de fortes chances que leurs outils ne soient pas bien écrits et attendront donc votre réponse avant de passer à la suivante. Une réponse vierge toutes les 5 secondes est bien meilleure que 100 rejets par seconde.
ManiacZX

2

Il serait peut-être temps de chercher une bonne solution matérielle. Un Cisco ASA avec un module IPS serait à peu près aussi solide que vous le feriez.

http://www.cisco.com/en/US/products/ps6825/index.html


+1 - Je ne pourrais pas être plus d'accord avec vous - il n'y a aucun moyen en enfer que des serveurs de production importants soient directement confrontés aux demandes - c'est à cela que servent les pare-feu et / ou les équilibreurs de charge.
Chopper3

1
Comment un ASA va-t-il résoudre ce problème? Plus précisément, comment un ASA va-t-il mieux résoudre ce problème que de simplement bloquer l'adresse IP?
devicenull

1

Les appliances matérielles d'entreprise McAfee (un rachat de l'ancienne série Secure Computing Sidewinder) ont une fonction de géolocalisation qui vous permet d'appliquer des filtres à des pays ou des régions spécifiques. Cependant, il peut être difficile de trouver le bon équilibre si vous avez également beaucoup de trafic légitime en provenance de Chine.


1

Si vous utilisez IIS - il existe un bon programme appelé IISIP de hdgreetings dot com qui mettra à jour vos listes de blocage de serveur par IP ou par plage à l'aide d'un fichier texte personnalisé ou bloquera également la Chine ou la Corée en utilisant entièrement les listes de mises à jour d'Okean dot com.

Une partie de la logique de l'arrêt est que s'ils ne sont bloqués - cela consomme des ressources de serveur à bloquer et ils continuent d'essayer. S'ils sont redirigés vers une boucle - cela consomme leurs serveurs à la place. De même - s'ils sont dirigés vers des documents censurés - ils seront à leur tour censurés par leur propre système et éventuellement empêchés de revenir.

Pour le problème des pirates informatiques essayant phpmyadmin, etc., ma solution était de lire mes fichiers journaux et de créer tous les dossiers dans wwwroot qu'ils recherchaient, puis de mettre dans chacun les noms de fichiers php auxquels ils essayaient d'accéder. Chaque fichier php contient alors simplement une redirection vers un autre endroit - donc quand ils y accèdent - il les envoie ailleurs. Comme mes sites Web utilisent tous des en-têtes d'hôte - cela ne les affecte pas du tout. Une recherche Google fournira des informations sur la façon d'écrire un script php très simple pour la redirection. Dans mon cas, je les envoie au projet honeypot ou les envoie à un script qui génère des courriers indésirables à l'infini au cas où ils seraient récoltés. Une autre alternative est de les rediriger vers leur propre IP ou vers quelque chose qu'ils se censureront.

Pour les bots de piratage de dictionnaire ftp en Chine utilisant IIS, il existe un joli script appelé banftpips qui ajoutera automatiquement l'adresse IP des attaquants à la liste d'interdiction en cas d'échec. Il est un peu difficile de se mettre au travail, mais il fonctionne exceptionnellement bien. La meilleure façon de le faire fonctionner est d'utiliser plusieurs copies du script en utilisant le nom essayé en premier car le script ne semble accepter qu'un seul nom plutôt qu'un tableau. Exemple: administrateur, administrateur, abby, etc. Il peut également être trouvé par Google.

Ces solutions fonctionnent sur IIS5 Win2K et probablement aussi sur les nouveaux IIS.


0

Installez Config Server Firewall (CSF) et définissez la sécurité pour bloquer tous ceux qui martèlent.

Nous l'exécutons sur TOUS nos serveurs.


0

Assurez-vous avant tout que tout est à jour. Masquer les services comme (!!!) phpmyadmin (!!!) . Ce serait également une bonne idée de faire un whois sur ces adresses IP et de signaler cette activité à leur adresse e-mail d'abus. Mais c'est probablement le gouvernement chinois, vous allez donc leur donner de quoi rire. Voici des informations sur la manière de signaler le problème au FBI.

Dans toute réalité, vous devez prendre les choses en main. Vous devez tester votre serveur pour détecter les vulnérabilités avant d'en trouver une.

Test d'application Web:

  1. NTOSpier ($$$) - Très bien, et c'est probablement une meilleure technologie qu'eux.
  2. Acunetix ($) - Bon, mais pas génial. Il trouvera des problèmes.
  3. Wapiti et w3af (open source), vous devez les exécuter tous les deux. Vous devez exécuter tous les modules d'attaque w3af disponibles. Même si vous optez pour acuentix ou ntospider, vous devriez toujours exécuter w3af, il y a une chance qu'il trouve plus de problèmes.

Test des services réseau:

  1. Exécutez OpenVAS avec TOUS les plugins.

  2. Exécutez NMAP avec une analyse TCP / UDP complète. Pare-feu tout ce dont vous n'avez pas besoin.

Si vous ne pouvez résoudre aucun problème, mieux vaut un professionnel.


0

"Veuillez ne pas mettre sur liste noire des pays entiers, ni même des blocs d'adresses volumineux. Considérez les implications de ces actions. Même le blocage d'une seule adresse peut bloquer la connectivité à votre site pour un nombre important d'utilisateurs. Il est tout à fait possible que les propriétaires légitimes des hôtes Je ne sais pas si leurs boîtes ont été remplies. "

Je pense que cela dépend entièrement du type de site Web et du public visé, qu'il soit judicieux ou non de bloquer des pays entiers. Bien sûr, le propriétaire légitime d'un hôte à Shanghai pourrait ne pas savoir que son ordinateur sonde un site Web appartenant à votre entreprise. Mais présumez que votre entreprise a un public local, ou présumez que le site Web est le portail Outlook Web Access pour vos employés - est-ce un problème de blocage du site Web pour les utilisateurs de Shanghai?

Bien sûr, la neutralité du net est une bonne chose, mais tous les sites Web ne doivent pas nécessairement servir un public mondial, et si vous pouvez éviter les problèmes en bloquant l'accès des pays qui n'offrent pas de visiteurs légitimes sur le site Web - pourquoi ne pas le faire?


0

Informer le contact abusif en Chine est impossible.

Ils ne réagiront pas, souvent, ces adresses e-mail abusives n'existent même pas.

Je bloque toutes les adresses IP chinoises, ou du moins je les ferme et je limite leur accès au minimum.


Bienvenue dans Server Fault. Il s'agit d'un site de questions / réponses, et non d'un forum de discussion, donc les réponses devraient réellement répondre à la question . Une fois que vous aurez suffisamment de réputation sur le site, vous pourrez laisser des commentaires sur d'autres questions et réponses .
Michael Hampton
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.