Стоит ли блокировать вредоносные сканеры через iptables?

Question

Стоит ли блокировать вредоносные сканеры через iptables?

Я периодически проверяю логи своего сервера и замечаю, что многие сканеры ищут местоположение phpmyadmin, zencart, roundcube, разделов администратора и других конфиденциальных данных. Кроме того, существуют также сканеры под названием "Morfeus Fucking Scanner" или "Morfeus Strikes Again", которые ищут уязвимости в моих сценариях PHP и сканеры, которые выполняют странные (XSS?) Запросы GET, такие как:

GET /static/)self.html(selector?jQuery(
GET /static/]||!jQuery.support.htmlSerialize&&[1,
GET /static/);display=elem.css(
GET /static/.*.
GET /static/);jQuery.removeData(elem,

До сих пор я всегда хранил эти IP-адреса вручную, чтобы заблокировать их с помощью iptables. Но так как эти запросы выполняются только максимальное количество раз с одного и того же IP-адреса, я сомневаюсь, обеспечивает ли он какие-либо преимущества безопасности, связанные с их блокировкой.

Я хотел бы знать, полезно ли кому-либо блокировать эти сканеры в брандмауэре, и если да, то есть ли (не слишком сложный) способ сделать это автоматически. И если это бесполезное усилие, возможно, потому, что через некоторое время эти запросы приходят с новых IP-адресов, если кто-то может уточнить это и, возможно, предложить более эффективные способы запрета / ограничения доступа злоумышленников.

К вашему сведению: я тоже уже блокирую w00tw00t.at.ISC.SANS.DFind:) сканирует, используя следующие инструкции: http://spamcleaner.org/en/misc/w00tw00t.html

1

security iptables web-crawler malicious

Источник

EarthMind 11 май '10 в 17:41

3 ответа

Другие вопросы по тегам security iptables web-crawler malicious

Chopper3 11 май '10 в 17:49 2010-05-11 17:49 · Answer 1 · 2010-05-11 17:49

Мы используем аппаратные брандмауэры Cisco, а не серверные программные средства, и они следят за моделями действий и блокируют их довольно долго (30-90 дней после операции). Я уверен, что другие брандмауэры могут сделать это, но не имеют опыта. По сути, я хочу сказать, что если ваш брандмауэр может использовать правила для поиска злоупотреблений, вы увидите выгоду от простой блокировки известных преступников.

Kyle Brandt 11 май '10 в 17:45 2010-05-11 17:45 · Answer 2 · 2010-05-11 17:45

Стоит ли спорить, и я не знаю.

Что касается вашей жалобы на то, что они приходят с разных IP-адресов, и вы можете реагировать только блокировкой IP-адреса... Это можно исправить с помощью обратного прокси-сервера, такого как Apache, в режиме обратного прокси (с чем-то вроде mod_proxy / mod_security) или HAProxy., По сути, если вы знаете шаблоны заранее, вы можете просто отбросить эти запросы, прежде чем они попадут на веб-сервер.

Кроме того, для небольшого запаса слов эти брандмауэры называются брандмауэрами веб-приложений (WAF). Они работают на уровне 7, изучая HTTP-запросы и ответы.

cpbills 11 май '10 в 21:49 2010-05-11 21:49 · Answer 3 · 2010-05-11 21:49

Вы всегда можете взять некоторые из найденных строк /GET, и, поскольку у вас уже есть строковый модуль для iptables, зарегистрировать / отбросить эти пакеты и потенциально автоматизировать добавление их в брандмауэр с помощью скрипта.

Вообще говоря, я бы сказал, что вы можете блокировать эти IP-адреса, потому что они могли быть скомпрометированы тем или иным способом, и если они были скомпрометированы, и вы улавливаете одну атаку, вы можете пропустить другую.