Bagaimana 'bot buruk' ini menemukan server web tertutup saya?


8

Saya telah menginstal Apache beberapa waktu yang lalu, dan melihat sekilas pada access.log saya menunjukkan bahwa semua jenis IP yang tidak dikenal terhubung, kebanyakan dengan kode status 403, 404, 400, 408. Saya tidak tahu bagaimana mereka menemukan IP saya, karena saya hanya menggunakannya untuk penggunaan pribadi, dan menambahkan robots.txt berharap itu akan membuat mesin pencari menjauh. Saya memblokir indeks dan tidak ada yang benar-benar penting.

Bagaimana bot ini (atau orang-orang) menemukan server? Apakah ini biasa terjadi? Apakah koneksi ini berbahaya / apa yang bisa saya lakukan?

Juga, banyak IP berasal dari semua jenis negara, dan tidak menyelesaikan nama host.

Inilah banyak contoh tentang apa yang terjadi:

dalam satu sapuan besar, bot ini mencoba menemukan phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

saya mendapatkan banyak dari ini:

"HEAD / HTTP/1.0" 403 - "-" "-"

banyak "proxyheader.php", saya mendapatkan sedikit permintaan dengan tautan http: // di GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"MENGHUBUNG"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

dan ini omong kosong hex benar-benar samar ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

kosong

"-" 408 - "-" "-"

Itulah intinya. Saya mendapatkan semua jenis sampah, bahkan dengan agen pengguna win95.

Terima kasih.

Jawaban:


13

Selamat datang di internet :)

  • Bagaimana mereka menemukan Anda: Kemungkinannya adalah, pemindaian IP brute force. Sama seperti aliran konstan pemindaian kerentanan pada host Anda begitu mereka menemukannya.
  • Untuk mencegah di masa depan: Meskipun tidak sepenuhnya dapat dihindari, Anda dapat menghambat alat keamanan seperti Fail2Ban di Apache atau batas nilai - atau secara manual melarang - atau mengatur ACL
  • Sangat umum untuk melihat ini pada perangkat keras yang dapat diakses di luar yang merespons pada port umum
  • Ini hanya berbahaya jika Anda memiliki versi perangkat lunak yang belum ditonton di host yang mungkin rentan. Ini hanyalah upaya buta untuk melihat apakah Anda punya sesuatu yang 'keren' untuk dikerjakan anak-anak. Pikirkan itu sebagai seseorang yang berjalan di sekitar tempat parkir mencoba pintu mobil untuk melihat apakah mereka tidak dikunci, pastikan milikmu ada dan kemungkinan dia akan meninggalkan milikmu sendiri.

2
Salah satu cara mengurangi permukaan serangan Anda menjadi pemindaian otomatis adalah dengan menjalankan server web Anda pada port non-standar. Jika Anda hanya menjalankan server web untuk penggunaan pribadi, kemungkinan ini akan dapat diterima. Ini tidak akan melakukan apa pun untuk melindungi terhadap serangan yang ditargetkan terhadap sistem spesifik Anda. Ini juga merupakan ide yang baik untuk membuat firewall untuk menempatkan sistem Anda ke "mode siluman" memblokir akses ke layanan yang tidak diinginkan. Ini termasuk pemblokiran Permintaan Echo ICMP, dll.
Per von Zweigbergk

1

Ini hanya orang yang mencoba menemukan kerentanan di server. Hampir dipastikan dilakukan oleh mesin-mesin terkompresi.

Ini hanya akan menjadi orang yang memindai rentang IP tertentu - Anda dapat melihat dari phpMyAdmin, bahwa ia sedang mencoba menemukan versi pra-instal PMA yang diamankan dengan buruk. Setelah ditemukan, itu bisa mendapatkan akses mengejutkan ke sistem.

Pastikan sistem Anda selalu terbarui, dan Anda tidak memiliki layanan apa pun yang tidak diperlukan.


File robots.txt juga dapat menyebabkan serangan yang diarahkan. Jika Anda memiliki sesuatu yang tidak ingin dilihat orang lain, jangan iklankan di file robots.txt Anda ... lindungi dengan ACL dan akses yang diautentikasi.
Red Tux

1

Ini adalah pemindaian robot untuk eksploitasi keamanan yang diketahui. Mereka hanya memindai seluruh rentang jaringan dan karenanya akan menemukan server yang tidak diiklankan seperti milik Anda. Mereka tidak bermain bagus dan tidak peduli dengan robots.txt Anda. Jika mereka menemukan kerentanan, mereka akan mencatatnya (dan Anda dapat mengharapkan serangan manual segera) atau secara otomatis akan menginfeksi mesin Anda dengan rootkit atau malware serupa. Ada sangat sedikit yang dapat Anda lakukan tentang ini dan itu hanya bisnis normal di internet. Mereka adalah alasan mengapa penting untuk selalu memiliki perbaikan keamanan terbaru untuk perangkat lunak Anda yang diinstal.


1

Seperti yang telah dicatat, mereka kemungkinan melakukan pemindaian brute force. Jika Anda menggunakan alamat IP dinamis, mereka mungkin akan memindai alamat Anda. (Saran berikut mengasumsikan Linux / UNIX, tetapi sebagian besar dapat diterapkan ke Server Windows.)

Cara termudah untuk memblokirnya adalah:

  • Port firewall 80 dan hanya memungkinkan rentang alamat IP terbatas untuk mengakses server Anda.
  • Konfigurasikan ACL dalam konfigurasi apache Anda yang hanya memungkinkan alamat tertentu untuk mengakses server Anda. (Anda dapat memiliki aturan berbeda untuk konten yang berbeda.)
  • Membutuhkan otentikasi untuk akses dari Internet.
  • Ubah tanda tangan server untuk mengecualikan bangunan Anda. (Tidak banyak peningkatan keamanan, tetapi membuat serangan spesifik versi sedikit lebih sulit.
  • Instal alat seperti fail2ban, untuk secara otomatis memblokir alamat mereka. Memperbaiki pola yang cocok mungkin membutuhkan sedikit usaha, tetapi jika 400 kesalahan seri jarang terjadi pada penglihatan Anda mungkin tidak terlalu sulit.

Untuk membatasi kerusakan yang dapat mereka lakukan pada sistem Anda, pastikan proses apache hanya dapat menulis ke direktori dan file yang seharusnya dapat diubah. Dalam kebanyakan kasus server hanya perlu akses baca ke konten yang dilayaninya.


0

Internet adalah ruang publik, dengan demikian istilah ip publik. Anda tidak dapat menyembunyikan kecuali dengan menetapkan beberapa cara untuk menolak publik (vpn, acl pada firewall, directaccess, dll.). Koneksi ini berbahaya karena pada akhirnya seseorang akan lebih cepat dalam mengeksploitasi Anda daripada saat Anda menambal. Saya akan mempertimbangkan semacam otentikasi sebelum merespons.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.