web-dev-qa-db-ja.com

悪意のあるトラフィックのリダイレクトに使用するHTTPターピット/ブラックホールを知っていますか?

クライアントのサイトから悪意のあるPHP=スクリプトをいくつかクリーンアップし、スクリプトへの接続のフォローアップを監視してきました。もちろん、ファイルを要求するIPがたくさん見つかりました。試してブラックリストに入れるには多すぎ、高レベルでブロックするには多すぎるネットブロック。

ファイルに対する後続のすべてのリクエストをある種のブラックホール/ターピット/ハニーポット/悪者レポートシステムにリダイレクトすることを考えていますが、HTTPトラフィックにそのようなものが存在するかどうかはわかりません。

理想的には、私はこれらのIPをインターネット警察にリダイレクトすることができ、それらは調査および厳格な話し合いの対象となるでしょうが、そのようなシステムは悪用される可能性があるため疑わしいです

7
Creek

申し訳ありませんが、これらすべてのIPはphished/maliciousリンクをクリックした犠牲者にすぎません。

クライアントがハッキングされ、目立たない被害者に感染するために悪意のあるスクリプトがサーバーにホストされました。好むと好まざるとにかかわらず、クライアントはマルウェアの拡散に貢献しました。

次のステップは、これらの要求に対して404 Not Foundを提供することであり、顧客がマルウェアの拡散を手助けしないようにすることです。必要に応じて、法執行サイトを指す301または302を設定するか、フィッシング/悪意のある電子メールのリンクをクリックしたことを訪問者に知らせる静的ページを提供することができます。

最初の質問のとおり、Webサーバーでセットアップしたターピット(TCPセッションを開いたままにするなど)を実行しても、サーバーの速度が低下するだけです。真剣に、それを行う意味はありません。

11
Pedro Perez

おそらく同じツール/マルウェアであり、はい、おそらく自動化されたボットネットでもあります。あなたはかつて感染したホストのリストに含まれていたため、切断の原因が駆除、WAFのブロック、プロキシのいずれであるかを知ることができます...

まあ、それはあなたのネットワーク構造に依存します。前面のファイアウォールを制御している場合、WAFをデプロイできる場合、varnishなどのキャッシュプロキシがある場合... Apacheのmod_rewriteでさえ、常に404エラーページにリダイレクトすることである程度は役立つ可能性があります。

しかし、私はあなたがこれらのアクセスの試みを報告することができるインターネットのようなサービスのようなサービスを本当に知りません。ここの誰かがそのようなことを知っていますか?

3
DarkLighting