이 '나쁜 봇'은 닫힌 웹 서버를 어떻게 찾습니까?


8

얼마 전에 Apache를 설치했으며 access.log를 살펴보면 알 수없는 모든 종류의 IP가 대부분 상태 코드 403, 404, 400, 408로 연결되어 있음을 알 수 있습니다. 내 IP는 개인적인 용도로만 사용하기 때문에 검색 엔진을 멀리두기를 바라면서 robots.txt를 추가했습니다. 인덱스를 차단하고 실제로 중요한 것은 없습니다.

이 봇 (또는 사람들)은 서버를 어떻게 찾습니까? 이런 일이 흔히 발생합니까? 이러한 연결이 위험합니까 / 무엇을해야합니까?

또한 많은 IP가 모든 종류의 국가에서 왔으며 호스트 이름을 확인하지 않습니다.

다음은 여러 가지 예입니다.

하나의 큰 스윕 에서이 봇은 phpmyadmin을 찾으려고 시도했습니다.

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

나는 이것들을 많이 얻습니다.

"HEAD / HTTP/1.0" 403 - "-" "-"

"proxyheader.php"를 많이 사용하면 GET에 http : // 링크가 포함 된 요청이 많이 발생합니다.

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"잇다"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

이건 정말 스케치 육각 쓰레기 ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

"-" 408 - "-" "-"

그것은 단지 요점입니다. win95 사용자 에이전트조차도 모든 종류의 정크를 얻습니다.

감사.

답변:


13

인터넷에 오신 것을 환영합니다 :)

  • 그들이 당신을 어떻게 찾았는지 : 무차별 대국 IP 스캔 일 가능성이 있습니다. 호스트가 발견 한 지속적인 취약점 검색 스트림과 마찬가지로.
  • 미래에 방지하기 위해 : 완전히 피할 수는 없지만 Apache에서 Fail2Ban과 같은 보안 도구 또는 속도 제한을 방지하거나 수동으로 금지하거나 ACL을 설정할 수 있습니다.
  • 공통 포트에서 응답하는 외부의 접근 가능한 하드웨어에서 이것을 보는 것이 매우 일반적입니다.
  • 호스트에 패치되지 않은 버전의 소프트웨어가 취약한 경우 에만 위험 합니다. 이것들은 단지 당신이이 스크립트 키드들이 어설프게 할 수있는 '쿨한'것이 있는지를 보려는 맹목적인 시도 일뿐입니다. 자동차 문을 열고 주차장을 걸어 다니는 사람을 생각해보십시오. 잠금이 해제되어 있는지 확인하십시오.

2
공격 영역을 자동 검색으로 줄이는 한 가지 방법은 비표준 포트에서 웹 서버를 실행하는 것입니다. 개인적인 용도로만 웹 ​​서버를 운영하고 있다면 이것이 가능할 것입니다. 그래도 특정 시스템에 대한 표적 공격으로부터 보호 할 수는 없습니다. 또한 원치 않는 서비스에 대한 액세스를 차단하는 "스텔스 모드"로 시스템을 설정하기 위해 방화벽을 설정하는 것이 좋습니다. 여기에는 ICMP 에코 요청 등 차단이 포함됩니다.
von Zweigbergk 당

1

이들은 서버에서 취약점을 찾으려고 노력하는 사람들입니다. 거의 확실하게 기계에 의해 수행됩니다.

특정 IP 범위를 스캔하는 사람들 일 것입니다. phpMyAdmin에서 볼 수 있듯이 PMA의 설치 전 버전이 잘못 보호되고 있음을 알 수 있습니다. 일단 발견되면 시스템에 대한 놀라운 액세스를 얻을 수 있습니다.

시스템이 최신 상태를 유지하고 필요하지 않은 서비스가 없는지 확인하십시오.


또한 robots.txt 파일은 직접 공격을 유발할 수 있습니다. 사람들이보고 싶지 않은 것을 가지고 있다면 robots.txt 파일에 광고하지 말고 ACL과 인증 된 액세스로 보호하십시오.
Red Tux

1

알려진 보안 공격을 검색하는 로봇입니다. 그들은 단순히 전체 네트워크 범위를 검색하므로 귀하와 같은 광고되지 않은 서버를 찾습니다. 그들은 잘 놀고 있지 않으며 robots.txt에 신경 쓰지 않습니다. 그들이 취약점을 발견하면, 그것들을 기록하거나 (수동 공격을 곧 예상 할 수 있음) 루트킷이나 유사한 맬웨어로 컴퓨터를 자동으로 감염시킵니다. 당신이 할 수있는 일은 거의 없으며 인터넷에서 정상적인 사업입니다. 소프트웨어에 항상 최신 보안 픽스를 설치하는 것이 중요한 이유입니다.


1

다른 사람들이 지적했듯이, 그들은 무차별 대국 스캔을하고있을 것입니다. 동적 IP 주소를 사용하는 경우 주소를 검색 할 가능성이 높습니다. (다음 조언은 Linux / UNIX를 가정하지만 대부분 Windows 서버에 적용될 수 있습니다.)

차단하는 가장 쉬운 방법은 다음과 같습니다.

  • 방화벽 포트 80은 제한된 범위의 IP 주소 만 서버에 액세스하도록 허용합니다.
  • 아파치 구성에서 특정 주소 만 서버에 액세스 할 수 있도록 ACL을 구성하십시오. (콘텐츠마다 규칙이 다를 수 있습니다.)
  • 인터넷에서 액세스하려면 인증이 필요합니다.
  • 빌드를 제외하도록 서버 서명을 변경하십시오. (보안 강화는 많지 않지만 버전 별 공격은 조금 더 어려워집니다.
  • fail2ban과 같은 도구를 설치하여 주소를 자동으로 차단하십시오. 일치하는 패턴을 올바르게 얻는 데 약간의 작업이 필요할 수 있지만 400 시리즈 오류가 드문 경우에는 그다지 어렵지 않을 수 있습니다.

시스템에 대한 손상을 제한하려면 아파치 프로세스가 변경할 수있는 디렉토리 및 파일에만 쓸 수 있는지 확인하십시오. 대부분의 경우 서버는 서비스하는 컨텐츠에 대한 읽기 액세스 만 필요합니다.


0

인터넷은 공용 공간이므로 공용 IP라는 용어입니다. 공개를 거부하는 방법 (vpn, acl on a firewall, directaccess 등)을 설정하지 않으면 숨길 수 없습니다. 이러한 연결은 결국 패치하는 것보다 누군가가 당신을 빠르게 공격하기 때문에 위험합니다. 응답하기 전에 일종의 인증을 고려할 것입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.