चीनी हैकर-बॉट हमारे सिस्टम का 24/7 फायदा उठाने की कोशिश कर रहे हैं

हमारी साइटें हमारे सिस्टम का फायदा उठाने की कोशिश करते हुए चीन को हल करने वाले आईपी पते के साथ बॉट्स से लगातार हमले कर रही हैं। जबकि उनके हमले असफल साबित हो रहे हैं, वे हमारे सर्वर संसाधनों पर एक निरंतर नाली हैं। हमलों का एक नमूना इस तरह दिखेगा:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

वे हर बार 24/7 हमारे सर्वर को मार रहे हैं, प्रत्येक सेकंड में कई बार, एक शोषण खोजने के लिए। आईपी ​​पते हमेशा अलग होते हैं, इसलिए इन हमलों के लिए फ़ायरवॉल में नियम जोड़ना केवल फिर से शुरू करने से पहले अल्पकालिक समाधान के रूप में कार्य करता है।

जब वेबसाइट पर काम किया जाता है तो मैं इन हमलावरों की पहचान करने के लिए एक ठोस दृष्टिकोण की तलाश करता हूं। क्या आईपी पते की पहचान करने या इन अनुरोधों को अवरुद्ध करने का एक बेहतर तरीका आईआईएस में नियमों को जोड़ने का एक प्रोग्रामेटिक तरीका है?

इन आईपी पते की पहचान करने और अवरुद्ध करने के लिए कोई भी विचार या समाधान बहुत स्वागत किया जाएगा। धन्यवाद!

कृपया पूरे देश , या बड़े पते ब्लॉक को ब्लैकलिस्ट न करें ।

इन कार्यों के निहितार्थ पर विचार करें। यहां तक ​​कि एक एकल पते को अवरुद्ध करने से उपयोगकर्ताओं की महत्वपूर्ण संख्या के लिए आपकी साइट पर कनेक्टिविटी अवरुद्ध हो सकती है । यह पूरी तरह से संभव है कि मेजबानों के वैध मालिकों को पता न हो कि उनके बक्से हो गए हैं 0wned।

आपने "24/7" आने वाला ट्रैफ़िक दिखाया था ... लेकिन मैं आपसे यह मूल्यांकन करने के लिए कहूंगा कि क्या आपके संसाधनों पर नाली वास्तव में महत्वपूर्ण है (मुझे लगता है कि लॉग स्निपेट से तीन हिट एक दूसरी अधिकतम है)।

अपने विकल्पों की जांच करें। सुनिश्चित करें कि आपके सर्वर वास्तव में कठोर हैं, अपने स्वयं के भेद्यता मूल्यांकन और अपने साइट कोड की समीक्षा करें। में देखो प्रति-स्रोत दर-limiters , वेब अनुप्रयोग फायरवॉल , और पसंद है। अपनी साइट को सुरक्षित रखें, अपने संसाधनों को संरक्षित करें, और वह करें जो आपके व्यवसाय की जरूरतों के लिए समझ में आता है।

मैं इसे किसी ऐसे व्यक्ति के रूप में कहता हूं जिसकी सेवाएं चीन के ग्रेट फ़ायरवॉल द्वारा नियमित रूप से अवरुद्ध की जाती थीं । यदि आपकी साइट पर्याप्त रूप से अच्छी हो रही है, तो हो सकता है कि वे अपने उपयोगकर्ताओं को आपके पास जाने से भी रोक दें !

मैं पूरे देशों को ब्लॉक करता हूं। चीनियों ने मेरी 3000 से अधिक साइटों से केवल एक ही वस्तु खरीदी है और फिर भी वे मेरे बैंडविड्थ का 18% हिस्सा खाते थे। उसमें से 18% के बारे में 60% बॉट था जो शोषण करने के लिए स्क्रिप्ट की तलाश में था।

• अद्यतन - कई वर्षों के बाद मैंने चीन को अवरुद्ध करना बंद कर दिया। मुझे Baidu से कुछ प्रमुख शर्तों पर वास्तविक गैर-बॉट ट्रैफ़िक से बाढ़ आ गई थी। एक हफ्ते में लगभग 400,000 हिट के बाद मैंने सरलीकृत चीनी में एक विशेष पृष्ठ बनाने के बाद ही एक बिक्री की। बैंडविड्थ के लायक नहीं। मैं उन्हें ब्लॉक करने के लिए वापस जा रहा हूं।

आप हर बार एफबीआई के चीनी संस्करण में उन्हें पुनः निर्देशित करने के लिए एक साधारण htaccess नियम भी सेट कर सकते हैं, जब भी वे बिना किसी मामले के phpmyadmin से शुरू होने वाली किसी भी चीज़ की तलाश करते हैं।

आप स्नॉर्ट में देखने की कोशिश कर सकते हैं जो एक घुसपैठ का पता लगाने वाला सिस्टम है (विकिपीडिया पर इसके लिए खोज करें क्योंकि मैं एक से अधिक यूरिन लिंक नहीं कर सकता)। जांचें कि आपके फ़ायरवॉल में पहले से ही कुछ हो सकता है। एक आईडी आने वाले ट्रैफ़िक को स्कैन करता है और अगर यह एक कारनामे को देखता है, तो यह जानता है कि यह फ़ायरवॉल पर इसे ब्लॉक कर सकता है।

इसके अलावा, आप वास्तव में बहुत कुछ नहीं कर सकते। मैं आईपी पते के दुरुपयोग संपर्क को सूचित करने से परेशान नहीं होता क्योंकि यह कुछ भी होने की संभावना नहीं है जब तक कि आप एक एकल आईपी पते से बहुत सारे हमले नहीं देखेंगे। केवल अन्य सुझाव आपके सर्वर को अद्यतित रखते हैं और किसी भी तीसरे पक्ष की स्क्रिप्ट जो आप आज तक उपयोग करते हैं ताकि आप इनमें से किसी एक हमले का शिकार न बनें।

खैर, इयाना की एपिक रजिस्ट्री के अनुसार , आईपी एड्रेस 58.223.238.6 चाइना टेलीकॉम को सौंपा गया एक ब्लॉक का हिस्सा है - जिसमें पूरा ब्लॉक 58.208.0.0 - 58.223.255.255 है। मुझे यकीन नहीं है कि आप इसे कैसे प्राप्त करना चाहते हैं। यदि यह मैं होता, तो मैं अपने नियमों में पूरी पता सीमा को अवरुद्ध करता और उसके साथ किया जाता। लेकिन आपके लिए आरामदायक होने के लिए यह बहुत अधिक हो सकता है कि पृथ्वी की झुलसा नीति।

मैं एक वेब व्यवस्थापक नहीं हूं, इसलिए इसे नमक के दाने के साथ लें, लेकिन आप कुछ ऐसी चीज़ों को तैयार करने में सक्षम हो सकते हैं जो आईपी रेंज (चीन) के सेट से पहुंच की निगरानी करता है, और अगर गतिविधि होती है तो उन्हें बूट देता है शोषण के प्रयास।

HTH

एक अच्छा हार्डवेयर समाधान देखने का समय हो सकता है। एक IPS मॉड्यूल के साथ एक सिस्को ASA लगभग उतना ही ठोस होगा जितना आप प्राप्त करने जा रहे हैं।

http://www.cisco.com/en/US/products/ps6825/index.html

McAfee एंटरप्राइज हार्डवेयर इक्विपमेंट (पूर्व सिक्योर कम्प्यूटिंग सिडविंडर सीरीज़ का बायआउट) में एक जियो-लोकेशन फीचर है जो आपको विशेष देशों या क्षेत्रों में फ़िल्टर लागू करने देता है। यह संतुलन पाने के लिए मुश्किल हो सकता है, हालांकि अगर आपके पास चीन से बहुत अधिक वैध यातायात है।

यदि आप IIS का उपयोग कर रहे हैं - तो hdgreetings डॉट कॉम से IISIP नामक एक अच्छा प्रोग्राम है जो कस्टम टेक्स्ट फ़ाइल का उपयोग करके आईपी या रेंज द्वारा आपकी सर्वर ब्लॉक सूचियों को अपडेट करेगा या ओकेन डॉट कॉम से अपडेट सूची का उपयोग करके पूरी तरह से चीन या कोरिया को ब्लॉक करेगा।

इसे रोकने में तर्क का एक हिस्सा यह है कि यदि वे केवल अवरुद्ध हैं - यह ब्लॉक करने के लिए सर्वर संसाधनों की खपत करता है और वे कोशिश करते रहते हैं। यदि वे एक लूप पर पुनर्निर्देशित होते हैं - यह उनके सर्वर को इसके बजाय खपत करता है। के रूप में अच्छी तरह से - अगर वे सेंसर सामग्री के लिए निर्देशित कर रहे हैं - वे बदले में अपने सिस्टम द्वारा सेंसर किया जाएगा और संभवतः लौटने से रोका जा सकता है।

हैप्पी बॉट्स के लिए phpmyadmin आदि की समस्या के लिए मेरा समाधान मेरी लॉग फ़ाइलों को पढ़ने और wwwroot में सभी फ़ोल्डरों को बनाने के लिए था जो वे देख रहे हैं, फिर हर एक php फाइल के नाम जिन्हें वे एक्सेस करने की कोशिश करते हैं, में डाल दिया। प्रत्येक php फ़ाइल तब बस किसी अन्य स्थान पर पुनर्निर्देशित होती है - इसलिए जब वे इसे एक्सेस करते हैं - यह उन्हें कहीं और भेज देता है। जैसा कि मेरे जाले मेजबान हेडर का उपयोग कर रहे हैं - यह उन्हें बिल्कुल प्रभावित नहीं करता है। Google लुकअप रीडायरेक्शन के लिए एक बहुत ही सरल php स्क्रिप्ट लिखने के बारे में जानकारी प्रदान करेगा। मेरे मामले में मैं उन्हें या तो हनीपोट परियोजना में भेजता हूं या उन्हें एक स्क्रिप्ट भेजता हूं जो कि कटाई के मामले में अनंत कबाड़ ईमेल उत्पन्न करता है। एक अन्य विकल्प उन्हें अपने स्वयं के आईपी या कुछ और के लिए पुनर्निर्देशित करना है जो वे खुद को सेंसर करेंगे।

IIS का उपयोग करने वाले चाइना ftp डिक्शनरी हैकर बॉट्स के लिए एक अच्छी स्क्रिप्ट है, जिसे banftpips कहा जाता है, जो असफल प्रयासों पर स्वचालित रूप से हमलावरों को प्रतिबंध सूची में जोड़ देगा। यह काम करने के लिए थोड़ा मुश्किल है लेकिन असाधारण रूप से अच्छी तरह से काम करता है। इसे काम करने का सबसे अच्छा तरीका यह है कि पहले नाम के उपयोग से स्क्रिप्ट की कई प्रतियों का उपयोग किया जाए क्योंकि स्क्रिप्ट केवल एक नाम को एक सरणी के बजाय स्वीकार करने के लिए लगता है। उदाहरण: एडमिनिस्ट्रेटर, एडमिन, एब्बी आदि। यह गूगल द्वारा भी पाया जा सकता है।

ये समाधान IIS5 Win2K पर काम करते हैं और शायद नए IIS पर भी।

कॉन्फ़िगर सर्वर फ़ायरवॉल (CSF) स्थापित करें और किसी भी हथौड़े को ब्लॉक करने के लिए सुरक्षा सेट करें।

हम इसे अपने सभी सर्वरों पर चलाते हैं।

और सबसे पहले सुनिश्चित करें कि सब कुछ अप टू डेट है। सेवाओं की तरह छिपाएँ (!!!) phpmyadmin (!!!) । एक अच्छा विचार यह भी होगा कि इन आईपी पते पर कोई व्हाट्सएप करे और इस गतिविधि की सूचना उनके ईमेल पते पर दे। लेकिन इसकी शायद चीनी सरकार तो आप बस उन्हें हंसने के लिए कुछ देंगे। यहाँ इस समस्या की सूचना एफबीआई को देने की जानकारी है।

सभी वास्तविकता में आपको मामलों को अपने हाथों में लेने की आवश्यकता है। इससे पहले कि वे एक खोज करें आपको कमजोरियों के लिए अपने सर्वर का परीक्षण करने की आवश्यकता है।

वेब अनुप्रयोग परीक्षण:

1. NTOSpier ($$$) - बहुत अच्छा है, और यह शायद उनके पास की तुलना में बेहतर तकनीक है।
2. Acunetix ($) - अच्छा है, लेकिन महान नहीं। इसमें दिक्कतें आएंगी।
3. Wapiti और ​​w3af (खुला स्रोत), आपको दोनों को चलाना चाहिए। आपको उपलब्ध हर w3af अटैक मॉड्यूल को चलाना चाहिए। यहां तक ​​कि अगर आप एक्यूएंटिक्स या नेटोस्पाइडर के साथ जाते हैं, तो आपको अभी भी w3af चलाना चाहिए, एक मौका है कि यह अधिक मुद्दों को ढूंढेगा।

नेटवर्क सेवा परीक्षण:

1. सभी प्लगइन्स के साथ OpenVAS चलाएं ।

2. एक पूर्ण टीसीपी / यूडीपी स्कैन के साथ एनएमएपी चलाएं । फ़ायरवॉल सब कुछ है कि आप की जरूरत नहीं है।

यदि आप किसी भी मुद्दे को ठीक नहीं कर सकते, तो उच्चतर पेशेवर।

"कृपया पूरे देश, या यहां तक ​​कि बड़े पते ब्लॉक को ब्लैकलिस्ट न करें। इन कार्यों के निहितार्थों पर विचार करें। यहां तक ​​कि एक पते को अवरुद्ध करने से उपयोगकर्ताओं की महत्वपूर्ण संख्या के लिए आपकी साइट पर कनेक्टिविटी अवरुद्ध हो सकती है। यह पूरी तरह से मेजबान के वैध मालिकों को संभव है। पता नहीं उनके बक्से 0wned किया गया है।

मुझे लगता है कि यह पूरी तरह से वेबसाइट के प्रकार पर निर्भर करता है, और इरादा दर्शकों, चाहे पूरे देशों को अवरुद्ध कर रहा हो या नहीं। यकीन है, शंघाई में एक मेजबान के वैध मालिक को पता नहीं हो सकता है कि उसका कंप्यूटर आपकी कंपनी से संबंधित वेबसाइट की जांच कर रहा है। लेकिन मान लें कि आपकी कंपनी के पास स्थानीय दर्शक हैं, या मान लें कि वेबसाइट आपके कर्मचारियों के लिए आउटलुक वेब एक्सेस पोर्टल है - क्या यह शंघाई के उपयोगकर्ताओं के लिए वेबसाइट को अवरुद्ध करने में समस्या है?

बेशक नेट न्यूट्रैलिटी एक अच्छी बात है, लेकिन सभी वेबसाइटों को वैश्विक दर्शकों की सेवा करने की आवश्यकता नहीं है, और यदि आप उन देशों से पहुंच को अवरुद्ध करके समस्याओं को रोक सकते हैं जो वैध वेब साइट आगंतुकों को प्रदान नहीं करते हैं - तो ऐसा क्यों नहीं करते?

चीन में दुरुपयोग संपर्क को सूचित करना असंभव है।

वे प्रतिक्रिया नहीं करेंगे, अक्सर, ये दुरुपयोग ईमेल पते भी मौजूद नहीं हैं।

मैं सभी चीनी आईपी एडेयर्स को रोक रहा हूं, या कम से कम उन्हें गेटिंग कर रहा हूं और उनकी पहुंच को न्यूनतम तक सीमित कर रहा हूं।