연중 무휴 24 시간 Google 시스템을 악용하려는 중국 해커 봇


13

우리 사이트는 중국에 IP 주소를 확인하여 시스템을 악용하려는 봇으로부터 끊임없이 공격을 받고 있습니다. 공격이 성공하지 못했지만 서버 리소스가 지속적으로 소모됩니다. 공격 샘플은 다음과 같습니다.

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

그들은 1 초에 여러 번 우리 서버를 연중 무휴로 공격하여 익스플로잇을 찾고 있습니다. IP 주소는 항상 다르므로 이러한 공격에 대한 규칙을 방화벽에 추가하면 다시 시작하기 전에 단기 솔루션으로 만 사용됩니다.

웹 사이트가 제공 될 때 이러한 공격자를 식별하기위한 확실한 접근 방법을 찾고 있습니다. IP 주소를 식별 할 때 IIS에 규칙을 추가하는 프로그래밍 방법이 있습니까? 아니면 이러한 요청을 차단하는 더 좋은 방법이 있습니까?

이러한 IP 주소를 식별하고 차단하기위한 아이디어 나 솔루션은 매우 환영받을 것입니다. 감사!


IP와 관련된 남용 연락처를 알리는 것이 시작입니다. IP가 소스임을 인식하지 못할 수 있습니다.
jl.

그것에 대해 말해줘! 내 웹 사이트도 지속적으로 공격을 받고 있습니다. 매일 워드 프레스 취약점을 찾는 봇이 있습니다. 그들이 404를 수천 장 발행 할 때 htaccess를 사용하여 계속 차단합니다!

답변:


11

국가 전체를 차단 하거나 대규모 주소 블록을 차단하지 마십시오 .

이러한 조치의 의미를 고려하십시오. 단일 주소를 차단하더라도 많은 수의 사용자가 사이트에 연결하는 것을 차단할 수 있습니다. 호스트의 정당한 소유자가 자신의 박스가 무엇인지 모르는 것이 전적으로 가능합니다 0wned.

트래픽이 "24/7"에 다가오는 것을 보여 주었지만 리소스 사용량이 실제로 중요한지 평가 해달라고 요청합니다 (로그 스 니펫에서 최대 두 번째 조회가 최대 한 번 표시됨).

옵션을 조사하십시오. 서버가 실제로 강화되었는지 확인하고 자체 취약성 평가를 수행하고 사이트 코드를 검토하십시오. 소스 별 속도 제한 기 , 웹 응용 프로그램 방화벽 등을 살펴보십시오 . 사이트를 보호하고 리소스를 보존하며 비즈니스 요구에 적합한 작업을 수행하십시오.

나는 이것을 중국대 방화벽에 의해 정기적으로 차단되었던 사람이라고 말합니다 . 사이트가 충분히 좋아지면 사용자가 귀하를 방문하지 못하게 막을 수도 있습니다 .


모든면에서, 그것은 당신이 인용 한 극단적 인 경우입니다. 그의 웹 사이트가 전 세계 교육 포털이 아니라면 적용되지 않는 것 같습니다. 비록 그가 최선의 대답으로 받아 들였지만, 앞으로이 주제에 관심이있는 사람들에게는 이것을 권하지 않습니다.
Copy Run Start

봇넷은 글로벌 네트워크이고 봇넷을 제어하는 ​​사람이 단일 국가에 있더라도 전세계의 모든 IP 주소에서 이러한 종류의 공격이 발생할 수 있기 때문에 여전히 적용되고 좋은 조언이라고 생각합니다. 요즘 대부분의 리눅스 배포판에는 iptables 모듈 "최근"이 포함되어 있으며, 시간당 연결 수에 대한 소스 속도 제한을 수행합니다. 아파치가 생성 한 http 오류 페이지 수를 기반으로 소스별로 속도를 제한 할 수있는 기능이있을 수 있습니다.
BeowulfNode42

6

나는 전체 국가를 차단합니다. 중국인은 내 사이트 중 3000 개 이상의 사이트에서 단일 항목 만 구입했지만 내 대역폭의 18 %를 차지했습니다. 그 중 18 %는 약 60 %가 봇이 악용 할 스크립트를 찾고있었습니다.

  • 업데이트-몇 년 후 중국을 차단했습니다. 바이두의 몇 가지 주요 용어로 실제 비봇 트래픽이 발생했습니다. 일주일 동안 약 40 만 건의 조회를 한 후 중국어 간체로 특별 페이지를 만든 후에 만 ​​판매했습니다. 대역폭 가치가 없습니다. 나는 그들을 다시 막을 것이다.

간단한 htaccess 규칙을 설정하여 대소 문자없이 phpmyadmin으로 시작하는 항목을 찾을 때마다 FBI의 중국어 버전으로 리디렉션 할 수 있습니다.


2

침입 탐지 시스템 인 snort 를 찾아 볼 수 있습니다 (URL을 둘 이상 연결할 수 없으므로 wikipedia에서 검색하십시오). 방화벽에 이미 무언가가 있는지 확인하십시오. IDS는 들어오는 트래픽을 검색하고 악용을 발견하면 방화벽에서 차단할 수 있음을 알고 있습니다.

그 외에도, 실제로 할 수있는 일은 많지 않습니다. 단일 IP 주소에서 많은 공격을 볼 수 없다면 IP 주소의 남용 연락처를 알려주는 것은 귀찮지 않습니다. 다른 제안 만이 서버를 최신 상태로 유지하고 사용하는 타사 스크립트를 유지하여 이러한 공격 중 하나의 희생자가되지 않도록하는 것입니다.


2

음,에 따라 APNIC 의 레지스트리 IANA 는 IP 주소 58.223.238.6은 차이나 텔레콤에 할당 된 블록의 일부입니다 - 전체 블록이 58.208.0.0 인으로 - 58.223.255.255. 정확히 어떻게 접근하고 있는지 잘 모르겠습니다. 그것이 내가 있다면, 나는 규칙에서 전체 주소 범위를 차단하고 그것으로 끝날 것입니다. 그러나 그것은 당신이 편하게하기에는 너무나 많은 지구 정책 일 수 있습니다.

나는 웹 관리자가 아니므로 소금 한 덩어리로 이것을 가져 가면 일련의 IP 범위 (중국)에서 액세스를 모니터하고 무언가를 가리키는 활동이있는 경우 부팅을 제공하는 것을 만들 수 있습니다 착취 시도.

HTH


서버가 공격을 받고 중국의 서브넷을 차단하여 트래픽을 차단했습니다. 중국과의 의사 소통이 필요한 국제 서비스를 운영하지 않는 한,이를 영구적 인 움직임으로 생각하고 있습니다. 단점이 무엇인지 잘 모르겠습니다.
ManiacZX

내 생각은 @ManiacZX입니다. 재미있는 것은 나열된 연락처가 anti-spam @ hostingcompany라는 것입니다. 아이러니에 대해 이야기하십시오.
Holocryptic

@Maniac-불행히도, 우리 사업의 큰 부분은 중국에 있기 때문에 중국에서 큰 서브넷을 차단하는 것을하는 것은 나쁜 생각 일 것입니다.
George

@George 그렇다면 하드웨어 및 소프트웨어 IPS / IDS 시스템을보고 Jason과 vrillusions가 제안한 것처럼 IP 주소를 동적으로 감지하고 차단할 것입니다.
Holocryptic

1
고려해야 할 또 다른 것은 메일 측에서 사용 된 것을 보았습니다. 패킷을 무시하거나 거부하는 대신 실제로 요청을 수락 한 다음 응답하는 데 시간이 걸리는 도구를 찾으십시오. 승률은 도구가 잘 작성되지 않았으므로 다음 단계로 넘어 가기 전에 응답을 기다립니다. 5 초마다 하나의 빈 응답이 초당 100 회 거부보다 ​​훨씬 낫습니다.
ManiacZX

2

좋은 하드웨어 솔루션을 살펴볼 시간입니다. IPS 모듈이 장착 된 Cisco ASA는 거의 확실하게 견고 할 것입니다.

http://www.cisco.com/en/US/products/ps6825/index.html


+1-더 이상 동의 할 수 없었습니다. 중요한 프로덕션 서버가 요청을 직접 처리해야하는 방법은 없습니다. 이것이 방화벽 및 / 또는로드 밸런서의 목적입니다.
Chopper3

1
ASA는이 문제를 어떻게 해결합니까? 구체적으로, ASA는 어떻게이 문제를 더 잘 해결하고 IP를 차단합니까?
devicenull

1

McAfee 엔터프라이즈 하드웨어 어플라이언스 (이전의 Secure Computing Sidewinder 시리즈 구매)에는 특정 국가 나 지역에 필터를 적용 할 수있는 지리적 위치 기능이 있습니다. 중국에서 합법적 인 교통량이 많은 경우에도 균형을 맞추는 것이 까다로울 수 있습니다.


1

IIS를 사용하는 경우 사용자 지정 텍스트 파일을 사용하여 IP 또는 범위별로 서버 차단 목록을 업데이트하거나 Okean dot com의 업데이트 목록을 사용하여 중국 또는 한국을 완전히 차단하는 hdgreetings dot com의 IISIP라는 좋은 프로그램이 있습니다.

이를 막는 논리의 일부는 차단 된 경우에만 차단하기 위해 서버 리소스를 소비하고 계속 시도한다는 것입니다. 이들이 루프로 리디렉션되면 대신 서버를 소비합니다. 또한 검열 된 재료로 향하는 경우 자체 시스템에 의해 검열되어 반환을 방지 할 수 있습니다.

phpmyadmin 등을 시도하는 해커 봇의 문제에 대한 해결책은 내 로그 파일을 읽고 wwwroot의 모든 폴더를 찾은 다음 액세스하려는 php 파일 이름을 각 폴더에 넣는 것입니다. 그런 다음 각 PHP 파일에는 단순히 다른 장소로의 리디렉션이 포함되어 있으므로 액세스 할 때 다른 곳으로 보냅니다. 내 웹은 모두 호스트 헤더를 사용하므로 전혀 영향을 미치지 않습니다. Google 검색은 리디렉션을 위해 매우 간단한 PHP 스크립트를 작성하는 방법에 대한 정보를 제공합니다. 내 경우에는 허니팟 프로젝트로 보내거나 수확하는 경우 무한 정크 이메일을 생성하는 스크립트로 보냅니다. 다른 대안은 그것들을 자신의 IP 또는 그들이 검열 할 무언가로 다시 리디렉션하는 것입니다.

IIS를 사용하는 중국 ftp 사전 해커 봇에는 banftpips라는 멋진 스크립트가 있습니다.이 스크립트는 실패한 시도에서 공격자 IP를 차단 목록에 자동으로 추가합니다. 일하기에는 약간 까다 롭지 만 예외적으로 잘 작동합니다. 스크립트를 작동시키는 가장 좋은 방법은 처음 시도한 이름을 사용하여 스크립트의 여러 복사본을 사용하는 것입니다. 스크립트는 배열이 아닌 하나의 이름 만 허용하는 것 같습니다. 예 : 관리자, 관리자, 애비 등. Google에서도 찾을 수 있습니다.

이러한 솔루션은 IIS5 Win2K 및 최신 IIS에서도 작동합니다.


0

CSF (Config Server Firewall)를 설치하고 망치는 것을 막도록 보안을 설정하십시오.

모든 서버에서 실행합니다.


0

우선 모든 것이 최신 상태인지 확인하십시오. (!!!) phpmyadmin (!!!) 과 같은 서비스를 숨 깁니다 . 이 IP 주소 에서 후이즈 를 수행 하고이 활동을 악용 이메일 주소로보고 하는 것이 좋습니다 . 그러나 아마도 중국 정부이기 때문에 그들에게 웃음을 줄 것입니다. 다음 은 FBI에 문제를보고하는 정보입니다.

실제로 모든 일을 자신의 손에 맡겨야합니다. 취약점을 찾기 전에 서버의 취약점을 테스트해야합니다.

웹 애플리케이션 테스트 :

  1. NTOSpier ($$$)-아주 좋았으며, 아마도 이것은 이전보다 더 나은 기술 일 것입니다.
  2. Acunetix ($) – 훌륭하지만 좋지는 않습니다. 문제가 생길 것입니다.
  3. Wapiti 및 w3af (오픈 소스), 둘 다 실행해야합니다. 사용 가능한 모든 w3af 공격 모듈을 실행해야합니다. acuentix 또는 ntospider를 사용하더라도 여전히 w3af를 실행해야하지만 더 많은 문제가 발생할 가능성이 있습니다.

네트워크 서비스 테스트 :

  1. 모든 플러그인으로 OpenVAS 를 실행하십시오 .

  2. 전체 TCP / UDP 스캔으로 NMAP 을 실행하십시오 . 불필요하게 방화벽을 모두 차단하십시오.

문제를 해결할 수 없으면 전문가를 높이십시오.


0

"전체 국가 또는 대규모 주소 차단을 차단하지 마십시오. 이러한 조치의 의미를 고려하십시오. 단일 주소를 차단하더라도 많은 수의 사용자에 대한 사이트 연결이 차단 될 수 있습니다. 호스트의 정당한 소유자 일 수 있습니다. 상자가 0wn인지 몰라요. "

나는 그것이 전체 국가를 차단하는 것이 현명한 지 여부에 관계없이 웹 사이트의 유형과 의도 된 청중에 전적으로 달려 있다고 생각합니다. 물론, 상하이에있는 호스트의 합법적 인 소유자는 자신의 컴퓨터가 회사 소유의 웹 사이트를 조사하고 있다는 것을 모를 수도 있습니다. 그러나 회사에 현지 고객이 있다고 가정하거나 웹 사이트가 직원을위한 Outlook Web Access 포털이라고 가정합니다. 상하이 사용자가 웹 사이트를 차단하는 데 문제가 있습니까?

물론 순 중립은 좋은 일이지만 모든 웹 사이트가 반드시 전 세계 고객에게 서비스를 제공해야하는 것은 아니며 합법적 인 웹 사이트 방문자를 제공하지 않는 국가의 액세스를 차단하여 문제를 방지 할 수 있다면 어떻습니까?


0

중국에서 남용을 알리는 것은 불가능합니다.

이러한 악용 이메일 주소는 존재하지 않는 경우가 종종 있습니다.

중국의 모든 IP 주소를 차단하거나 최소한 게이트를 사용하여 액세스를 최소로 제한하고 있습니다.


서버 결함에 오신 것을 환영합니다. 이 포럼은 토론 포럼이 아닌 Q & A 사이트이므로 실제로 답변해야합니다 . 사이트에 대한 평판이 충분하면 다른 질문과 답변에 대한 의견남길 수 있습니다 .
Michael Hampton
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.