Los piratas informáticos chinos intentan explotar nuestros sistemas 24/7

Nuestros sitios están constantemente bajo ataque de bots con direcciones IP que se resuelven en China, intentando explotar nuestros sistemas. Si bien sus ataques no tienen éxito, son una constante pérdida de recursos de nuestros servidores. Una muestra de los ataques se vería así:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

Literalmente están llegando a nuestros servidores las 24 horas, los 7 días de la semana, varias veces por segundo, en busca de una vulnerabilidad. Las direcciones IP siempre son diferentes, por lo que agregar reglas al firewall para estos ataques solo sirve como soluciones a corto plazo antes de que se inicien nuevamente.

Estoy buscando un enfoque sólido para identificar a estos atacantes cuando se sirve el sitio web. ¿Existe una forma programática de agregar reglas a IIS al identificar una dirección IP o una mejor manera de bloquear estas solicitudes?

Cualquier idea o solución para identificar y bloquear estas direcciones IP sería muy bienvenida. ¡Gracias!

No ponga en la lista negra países enteros , ni siquiera bloques de direcciones grandes.

Considere las implicaciones de estas acciones. Incluso bloquear una sola dirección podría bloquear la conectividad a su sitio para un número significativo de usuarios . Es completamente posible que los propietarios legítimos de los anfitriones no sepan que han sido sus cajas 0wned.

Usted mostró tráfico entrante "24/7" ... pero le pediría que evalúe si el agotamiento de sus recursos es realmente significativo (veo tres golpes por segundo como máximo de ese fragmento de registro).

Investigue sus opciones. Asegúrese de que sus servidores estén realmente reforzados, realice su propia evaluación de vulnerabilidad y revisión del código de su sitio. Examine los limitadores de velocidad por fuente , los cortafuegos de aplicaciones web y similares. Asegure su sitio, conserve sus recursos y haga lo que tenga sentido para las necesidades de su negocio.

Digo esto como alguien cuyos servicios solían ser bloqueados regularmente por el Gran Cortafuegos de China . Si su sitio termina siendo lo suficientemente bueno, ¡ tal vez incluso bloqueen a sus usuarios para que no lleguen a usted !

Bloqueo países enteros. Los chinos SOLO han comprado un solo artículo en más de 3000 de mis sitios y, sin embargo, solían representar el 18% de mi ancho de banda. De ese 18%, alrededor del 60% eran bots que buscaban scripts para explotar.

• actualización - Después de muchos años apagué el bloqueo de China. Me inundaron con tráfico real que no es bot en algunos términos clave de Baidu. Después de aproximadamente 400,000 visitas durante una semana, realicé una venta solo después de haber creado una página especial en chino simplificado. No vale la pena el ancho de banda. Estoy volviendo a bloquearlos.

También puede configurar una regla htaccess simple para redirigirlos a la versión china del FBI cada vez que busquen algo que comience con phpmyadmin sin mayúsculas y minúsculas.

Puede intentar buscar en snort, que es un sistema de detección de intrusiones (búsquelo en wikipedia ya que no puedo vincular más de una URL). Verifique que su firewall ya tenga algo. Un IDS escanea el tráfico entrante y si ve un exploit que sabe puede bloquearlo en el firewall.

Aparte de eso, no hay mucho que puedas hacer realmente. No me molestaría en notificar al contacto de abuso de la dirección IP, ya que es poco probable que surja algo a menos que vea muchos ataques desde una sola dirección IP. Solo otra sugerencia es mantener sus servidores actualizados y cualquier script de terceros que use actualizado para que no sea víctima de uno de estos ataques.

Bueno, según el registro apnic de iana , la dirección IP 58.223.238.6 es parte de un bloque asignado a China Telecom, con todo el bloque 58.208.0.0 - 58.223.255.255. No estoy seguro exactamente cómo quieres abordarlo. Si fuera yo, bloquearía todo el rango de direcciones en mis reglas y terminaría con eso. Pero eso podría ser una política de tierra quemada para que te sientas cómodo.

No soy un administrador web, así que tómalo con un poco de sal, pero es posible que puedas crear algo que monitoree el acceso desde un conjunto de rangos de IP (China), y luego les dé el arranque si hay actividad que apunta a intentos de explotación.

HTH

Tal vez sea hora de buscar una buena solución de hardware. Un ASA de Cisco con un módulo IPS sería lo más parecido a una roca sólida que se pueda obtener.

http://www.cisco.com/en/US/products/ps6825/index.html

Los dispositivos de hardware empresarial de McAfee (una compra de la serie anterior de Secure Computing Sidewinder) tiene una función de Geolocalización que le permite aplicar filtros a países o regiones particulares. Sin embargo, puede ser complicado obtener el equilibrio correcto si también tiene mucho tráfico legítimo desde China.

Si está utilizando IIS, hay un buen programa llamado IISIP de hdgreetings dot com que actualizará sus listas de bloqueo del servidor por IP o Range usando un archivo de texto personalizado o también bloqueará China o Corea completamente usando listas de actualizaciones de Okean dot com.

Parte de la lógica para detener esto es que si solo están bloqueados, consume recursos del servidor para bloquear y siguen intentando. Si se redirigen a un bucle, en su lugar, consume sus servidores. Además, si están dirigidos a materiales censurados, a su vez serán censurados por su propio sistema y posiblemente evitarán que regresen.

Para el problema de los robots de hackers que intentan phpmyadmin, etc., mi solución fue leer mis archivos de registro y hacer todas las carpetas en wwwroot que están buscando y luego poner en cada uno los nombres de archivos php a los que intentan acceder. Cada archivo php simplemente contiene una redirección a otro lugar, por lo que cuando acceden a él, los envía a otro lugar. Como todas mis webs usan encabezados de host, no las afecta en absoluto. Una búsqueda en Google proporcionará información sobre cómo escribir un script php muy simple para la redirección. En mi caso, los envío al proyecto honeypot o los envío a un script que genera infinitos correos electrónicos no deseados en caso de que estén cosechando. Otra alternativa es redirigirlos de regreso a su propia IP o algo que se censuren a sí mismos.

Para los robots de hackers del diccionario ftp de China que usan IIS, hay un buen script llamado banftpips que agregará automáticamente la IP de los atacantes a la lista de prohibición de intentos fallidos. Es un poco complicado trabajar, pero funciona excepcionalmente bien. La mejor manera de hacerlo funcionar es usar varias copias del script usando el nombre que se intentó primero, ya que el script solo parece aceptar un nombre en lugar de una matriz. Ejemplo: administrador, administrador, abby, etc. También puede encontrarlo en google.

Estas soluciones funcionan en IIS5 Win2K y probablemente también en IIS más recientes.

Instale el Servidor de seguridad del servidor de configuración (CSF) y configure la seguridad para bloquear a cualquiera que interfiera.

Lo ejecutamos en TODOS nuestros servidores.

En primer lugar, asegúrese de que todo esté actualizado. Ocultar servicios como (!!!) phpmyadmin (!!!) . También sería una buena idea hacer un whois en estas direcciones IP e informar esta actividad a su dirección de correo electrónico de abuso. Pero probablemente sea el gobierno chino, así que solo les darás algo de qué reírse. Aquí hay información sobre cómo informar el problema al FBI.

En realidad, debe tomar el asunto en sus propias manos. Debe probar su servidor para detectar vulnerabilidades antes de que encuentren uno.

Prueba de aplicaciones web:

1. NTOSpier ($$$): muy bueno, y esta es probablemente una tecnología mejor que la que tienen.
2. Acunetix ($): bueno, pero no excelente. Encontrará problemas.
3. Wapiti y w3af (código abierto), debe ejecutar ambos. Debe ejecutar todos los módulos de ataque w3af disponibles. Incluso si utiliza acuentix o ntospider, debe ejecutar w3af, existe la posibilidad de que encuentre más problemas.

Pruebas de servicios de red:

1. Ejecute OpenVAS con TODOS los complementos.

2. Ejecute NMAP con un escaneo TCP / UDP completo. Cortafuegos todo lo que no necesita.

Si no puede solucionar ninguno de los problemas, mejor profesional.

"Por favor, no ponga en la lista negra países enteros, o incluso grandes bloques de direcciones. Considere las implicaciones de estas acciones. Incluso bloquear una sola dirección podría bloquear la conectividad a su sitio para un número significativo de usuarios. Es completamente posible que los propietarios legítimos de los hosts no sé sus cajas han sido 0wned ".

Creo que depende completamente del tipo de sitio web y de la audiencia a la que se destina, independientemente de si bloquear o no países enteros es prudente. Claro, el propietario legítimo de un host en Shanghai podría no saber que su computadora está investigando un sitio web que pertenece a su empresa. Pero suponga que su empresa tiene una audiencia local, o suponga que el sitio web es el portal de Outlook Web Access para sus empleados: ¿es un problema bloquear el sitio web para los usuarios de Shanghai?

Por supuesto, la neutralidad de la red es algo bueno, pero no todos los sitios web necesariamente tienen que servir a una audiencia global, y si puede evitar problemas bloqueando el acceso de países que no proporcionan visitantes legítimos al sitio web, ¿por qué no hacerlo?

Informar al contacto de abuso en China es imposible.

No reaccionarán, a menudo, estas direcciones de correo electrónico de abuso ni siquiera existen.

Estoy bloqueando todas las direcciones IP chinas, o al menos bloqueándolas y limitando su acceso al mínimo.