Китайские хакерские боты пытаются использовать наши системы 24/7

Я блокирую целые страны. Китайцы приобрели ТОЛЬКО один предмет из более чем 3000 моих сайтов, но на них приходилось 18% моей пропускной способности. Из этих 18% около 60% были боты, ищущие сценарии для использования.

• Обновление - Через много лет я отключил блокировку Китая. На нескольких ключевых терминах Baidu меня залил реальный не бот-трафик. После примерно 400 000 просмотров за неделю я сделал одну продажу только после того, как создал специальную страницу на упрощенном китайском. Не стоит пропускной способности. Я собираюсь вернуться к их блокированию.

Вы также можете установить простое правило htaccess, чтобы перенаправлять их на китайскую версию ФБР каждый раз, когда они ищут что-то, начинающееся с phpmyadmin без регистра.

Может быть, пришло время изучить хорошее аппаратное решение. Cisco ASA с модулем IPS будет примерно настолько же надежна, насколько это возможно.

http://www.cisco.com/en/US/products/ps6825/index.html

Вы можете попробовать посмотреть на snort, который является системой обнаружения вторжений (ищите ее в википедии, так как я не могу связать более одного URL). Проверьте, что ваш брандмауэр уже может что-то иметь. IDS сканирует входящий трафик, и если он обнаруживает эксплойт, о котором он знает, он может заблокировать его на брандмауэре.

Кроме того, вы мало что можете сделать. Я бы не стал уведомлять о злоупотреблении контактом по IP-адресу, поскольку вряд ли что-то из этого получится, если вы не увидите много атак с одного IP-адреса. Лишь другое предложение - обновлять ваши серверы и любые сторонние сценарии, которые вы используете, чтобы вы не стали жертвой одной из этих атак.

Что ж, согласно реестру apnic в iana, IP-адрес 58.223.238.6 является частью блока, назначенного China Telecom - весь блок составляет 58.208.0.0 - 58.223.255.255. Я не уверен, как именно вы хотите приблизиться к этому. Если бы это был я, я бы заблокировал весь диапазон адресов в моих правилах и покончил бы с этим. Но это может быть слишком большой политикой выжженной земли, чтобы вам было удобно.

Я не веб-администратор, поэтому возьмите это с собой, но вы можете создать что-то, что контролирует доступ с набора диапазонов IP-адресов (Китай), а затем дает им загрузку, если есть активность, которая указывает на попытки эксплуатации.

НТН

Корпоративные аппаратные средства McAfee (выкуп предыдущей серии Secure Computing Sidewinder) имеют функцию геолокации, которая позволяет применять фильтры к конкретным странам или регионам. Может быть сложно получить правильный баланс, хотя, если у вас также есть много законного трафика из Китая.

Если вы используете IIS - есть хорошая программа под названием IISIP от hdgreetings dot com, которая будет обновлять списки блокировки вашего сервера по IP или диапазону, используя пользовательский текстовый файл, а также полностью блокировать Китай или Корею, используя списки обновлений от Okean dot com.

Часть логики в остановке заключается в том, что если они блокируются - он потребляет ресурсы сервера для блокировки, и они продолжают попытки. Если они перенаправлены в цикл - он использует их серверы. Также - если они направлены на материалы, подвергаемые цензуре, - они, в свою очередь, будут подвергаться цензуре по своей собственной системе и, возможно, не смогут вернуться.

Для решения проблемы хакерских ботов, пытающихся использовать phpmyadmin и т. Д., Я решил прочитать мои файлы журналов и сделать все папки в wwwroot, которые они ищут, а затем поместить в каждую из них имена файлов php, к которым они пытаются получить доступ. Каждый php-файл просто содержит перенаправление в другое место - поэтому, когда они получают к нему доступ, он отправляет их в другое место. Поскольку все мои сети используют заголовки хоста - это никак не влияет на них. Поиск в Google предоставит информацию о том, как написать очень простой PHP-скрипт для перенаправления. В моем случае я отправляю их либо в проект honeypot, либо в сценарий, который генерирует бесконечные ненужные электронные письма в случае их сбора. Другая альтернатива - перенаправить их обратно на собственный ip или на то, что они сами будут подвергать цензуре.

Для хакерских ботов из китайского ftp-словаря, использующих IIS, есть хороший скрипт под названием banftpips, который автоматически добавит IP-адрес злоумышленников в список банов при неудачных попытках. Это немного сложно получить работу, но работает исключительно хорошо. Лучший способ заставить его работать - это использовать несколько копий сценария, используя имя, которое было впервые опробовано, поскольку сценарий принимает только одно имя, а не массив. Пример: администратор, администратор, Эбби и т. Д. Его также можно найти в Google.

Эти решения работают на IIS5 Win2K и, возможно, также на более новых IIS.

Установите Config Server Firewall (CSF) и настройте безопасность, чтобы заблокировать любой, который забивает.

Мы запускаем его на ВСЕХ наших серверов.

Информировать о злоупотреблении контакт в китае невозможно.

Они не будут реагировать, часто, эти адреса электронной почты злоупотребления даже не существуют.

Я блокирую все китайские IP-адреса или, по крайней мере, блокирую их и ограничиваю их доступ до минимума.

Прежде всего, убедитесь, что все в курсе. Скрыть службы, такие как (!!!) phpmyadmin (!!!). Также было бы неплохо сделать whois на этих IP-адресах и сообщить об этом действии на их адрес электронной почты. Но это, вероятно, китайское правительство, так что вы просто дадите им над чем посмеяться. Вот информация о том, как сообщить о проблеме в ФБР.

Во всей реальности вам нужно взять дело в свои руки. Вам нужно проверить свой сервер на наличие уязвимостей, прежде чем они найдут его.

Тестирование веб-приложения:

1. NTOSpier ($$$) - очень хорошо, и это, вероятно, лучшая технология, чем они имеют.
2. Acunetix ($) - хорошо, но не отлично. Это найдет проблемы.
3. Wapiti и w3af (с открытым исходным кодом), вы должны запустить их обоих. Вы должны запустить каждый доступный модуль атаки w3af. Даже если вы используете acuentix или ntospider, вы все равно должны запустить w3af, есть вероятность, что он найдет больше проблем.

Тестирование сетевых сервисов:

1. Запустите OpenVAS со ВСЕМИ плагинами.

2. Запустите NMAP с полным сканированием TCP/UDP. Брандмауэр отключает все, что вам не нужно.

Если вы не можете решить ни одну из проблем, обратитесь к профессионалу.

"Пожалуйста, не вносите в черный список целые страны или даже большие адресные блоки. Примите во внимание последствия этих действий. Даже блокировка одного адреса может заблокировать подключение к вашему сайту для значительного числа пользователей. Вполне возможно, законные владельцы хостов Я не знаю, их ящики были помечены ".

Я думаю, что это полностью зависит от типа веб-сайта и предполагаемой аудитории, разумно ли блокировать целые страны. Конечно, законный владелец хоста в Шанхае может не знать, что его компьютер проверяет веб-сайт, принадлежащий вашей компании. Но предположим, что ваша компания имеет местную аудиторию, или предположим, что веб-сайт является порталом Outlook Web Access для ваших сотрудников - это проблема блокировки веб-сайта для пользователей из Шанхая?

Конечно, сетевой нейтралитет - это хорошо, но не все веб-сайты обязательно должны обслуживать глобальную аудиторию, и если вы можете предотвратить проблемы, заблокировав доступ из стран, которые не предоставляют законных посетителей веб-сайтов - почему бы не сделать это?