私たちのサイトは、IPアドレスが中国に解決されているボットから絶えず攻撃を受けており、システムを悪用しようとしています。攻撃は成功していないことが証明されていますが、サーバーのリソースを常に浪費しています。攻撃のサンプルは次のようになります。
2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -
彼らは、エクスプロイトを見つけるために、24時間年中無休で1秒間に複数回、サーバーを文字通り攻撃しています。 IPアドレスは常に異なるため、これらの攻撃に対するファイアウォールへのルールの追加は、再起動する前の短期的なソリューションとしてのみ機能します。
私は、ウェブサイトが提供されたときにこれらの攻撃者を特定するための確実なアプローチを探しています。 IPアドレスを特定したときにIISにルールを追加するプログラム的な方法、またはこれらの要求をブロックするためのより良い方法はありますか?
これらのIPアドレスを識別してブロックするためのアイデアやソリューションは大歓迎です。ありがとう!
国全体、または大きなアドレスブロックをブラックリストに登録しないでください。
これらのアクションの影響を考慮してください。 単一のアドレスをブロックしても、かなりの数のユーザーのサイトへの接続をブロックする可能性があります 。ホストの正当な所有者が、自分のボックスがであることを知らない可能性は十分にあります0wned
。
「24時間年中無休」でトラフィックが発生することを示しましたが、リソースの浪費が本当に重要であるかどうかを評価するようにお願いします(そのログスニペットから1秒あたり最大3回のヒットが見られます)。
オプションを調べてください。サーバーが実際に強化されていることを確認し、独自の脆弱性評価とサイトコードのレビューを実施します。 ソースごとのレートリミッター 、 Webアプリケーションファイアウォール などを調べます。サイトを保護し、リソースを保護し、ビジネスニーズに合った方法を実行します。
これは、サービスが 中国の大ファイアウォール によって定期的にブロックされていた人物と私は言います。あなたのサイトが十分に良い結果になった場合、 おそらく、ユーザーがあなたに連絡するのをブロックするかもしれません !
国全体をブロックします。中国人は私のサイトの3000以上から1つのアイテムのみを購入しましたが、それでも私の帯域幅の18%を占めていました。その18%のうち、約60%は、悪用するスクリプトを探しているボットでした。
また、単純なhtaccessルールを設定して、大文字と小文字を区別せずにphpmyadminで始まるものを探すたびに中国語版のFBIにリダイレクトすることもできます。
侵入検知システムである snort を調べてみてください(複数のURLをリンクすることはできないため、ウィキペディアで検索してください)。ファイアウォールにすでに何かがあるか確認してください。 IDSは着信トラフィックをスキャンします。IDSがエクスプロイトを見つけた場合、それがファイアウォールでブロックされる可能性があることを認識しています。
それを除けば、あなたが実際にできることは多くありません。単一のIPアドレスからの攻撃が多数見られない限り、IPアドレスが悪用されることはほとんどありません。他の唯一の提案は、サーバーを最新の状態に保ち、使用するサードパーティのスクリプトを最新の状態に保ち、これらの攻撃のいずれかの犠牲にならないようにすることです。
apnic レジストリ iana によると、IPアドレス58.223.238.6はChina Telecomに割り当てられたブロックの一部であり、ブロック全体は58.208.0.0-58.223です。 .255.255。どのようにアプローチしたいか正確にはわかりません。それが私なら、ルールのアドレス範囲全体をブロックして、それで終わります。しかし、それはあなたが快適にするには焦土作戦では多すぎるかもしれません。
私はWeb管理者ではないので、これを一目で理解してください。ただし、一連のIP範囲(中国)からのアクセスを監視するものを作成し、それを指すアクティビティがある場合はブートを提供できる可能性があります。搾取の試み。
HTH
良いハードウェアソリューションを検討するときかもしれません。 IPSモジュールを備えたCisco ASAは、あなたが手に入れようとしているのとほぼ同じくらい堅実です。
McAfeeエンタープライズハードウェアアプライアンス(以前のSecure Computing Sidewinderシリーズの買収)には、特定の国や地域にフィルターを適用できる地理位置情報機能があります。中国からの正当なトラフィックがたくさんある場合でも、バランスを正しく取るのは難しいかもしれません。
IIS-hdgreetings dot comのIISIPと呼ばれる優れたプログラムがあり、カスタムテキストファイルを使用してIPまたは範囲でサーバーブロックリストを更新するか、中国または韓国を完全にブロックします。 Okean dotcomからリストを更新します。
これを停止するロジックの一部は、ブロックされているだけの場合、サーバーリソースを消費してブロックし、試行を続けることです。それらがループにリダイレクトされる場合、代わりにサーバーを消費します。同様に、検閲された資料に向けられた場合、それらは独自のシステムによって検閲され、場合によっては返却が妨げられます。
ハッカーボットがphpmyadminなどを試行している問題の場合、私の解決策はログファイルを読み取り、wwwroot内のすべてのフォルダーを探し、探しているphpファイル名をそれぞれに配置することでした。各phpファイルには、他の場所へのリダイレクトが含まれているだけです。つまり、ユーザーがアクセスすると、他の場所にリダイレクトされます。私のウェブはすべてホストヘッダーを使用しているので、それらにはまったく影響しません。グーグルルックアップは、リダイレクトのための非常に単純なphpスクリプトを書く方法に関する情報を提供します。私の場合、それらをハニーポットプロジェクトに送信するか、収穫時に無限の迷惑メールを生成するスクリプトに送信します。もう1つの方法は、ユーザーを自分のIPまたはユーザーが検閲するものにリダイレクトすることです。
IIS=を使用する中国のftp辞書ハッカーボットの場合、失敗した試行で攻撃者のIPを禁止リストに自動的に追加するbanftpipsと呼ばれる素晴らしいスクリプトがあります。動作するのは少し難しいですが、機能しますスクリプトが配列ではなく1つの名前しか受け入れないように見えるため、最初に試した名前を使用してスクリプトの複数のコピーを使用するのが最善の方法です。例:管理者、管理者、アビーなど。グーグルでも。
これらのソリューションはIIS5Win2Kで動作し、おそらく新しいIISでも動作します。
Config Server Firewall(CSF)をインストールし、ハンマーをブロックするようにセキュリティを設定します。
すべてのサーバーで実行します。
まず第一に、すべてが最新であることを確認します。 (!!!)phpmyadmin(!!!)などのサービスを非表示にする。また、これらのIPアドレスに対して whois を実行し、このアクティビティを不正使用の電子メールアドレスに報告することもお勧めです。しかし、おそらくそれは中国政府なので、彼らに笑いものを与えるだけです。 ここ はFBIへの問題の報告に関する情報です。
実際には、問題を自分の手に委ねる必要があります。サーバーが脆弱性を見つける前に、脆弱性をテストする必要があります。
Webアプリケーションテスト:
ネットワークサービステスト:
すべてのプラグインで OpenVAS を実行します。
フルTCP/UDPスキャンで [〜#〜] nmap [〜#〜] を実行します。不要なものすべてをファイアウォールで保護します。
問題を解決できない場合は、専門家に相談してください。
中国での虐待の連絡先を知らせることは不可能です。
多くの場合、これらの悪用メールアドレスは存在しません。
私はすべての中国のIPアドレスをブロックしているか、少なくともそれらをゲートしてアクセスを最小限に制限しています。
「国全体、または大きなアドレスブロックをブラックリストに登録しないでください。これらのアクションの影響を考慮してください。単一のアドレスをブロックしても、かなりの数のユーザーのサイトへの接続がブロックされる可能性があります。ホストの正当な所有者は完全に可能です。彼らの箱が所有されていることを知らない。」
国全体をブロックするのが賢明かどうかは、ウェブサイトの種類と対象読者に完全に依存していると思います。確かに、上海のホストの正当な所有者は、彼のコンピューターがあなたの会社に属するWebサイトを調査していることを知らないかもしれません。しかし、あなたの会社が地元の聴衆を持っていると思いますか、またはWebサイトが従業員のためのOutlook Web Accessポータルであると思います-それは上海のユーザーのWebサイトをブロックする問題ですか?
もちろん、ネットの中立性は良いことですが、必ずしもすべてのWebサイトが世界中のユーザーにサービスを提供する必要はありません。また、正当なWebサイト訪問者を提供していない国からのアクセスをブロックすることで問題を防ぐことができるのであれば、そうしませんか?