ये 'बॉट बॉट' मेरे बंद वेबसर्वर को कैसे ढूंढ रहे हैं?


8

मैंने कुछ समय पहले Apache स्थापित किया है, और मेरे access.log पर एक त्वरित नज़र दिखाता है कि सभी प्रकार के अज्ञात IP कनेक्ट हो रहे हैं, ज्यादातर एक स्थिति कोड 403, 404, 400, 408 के साथ। मुझे नहीं पता कि वे कैसे खोज रहे हैं। मेरा आईपी, क्योंकि मैं इसे केवल व्यक्तिगत उपयोग के लिए उपयोग करता हूं, और इसमें एक robots.txt जोड़ा गया है जिससे यह उम्मीद है कि यह खोज इंजन को दूर रखेगा। मैं अनुक्रमित ब्लॉक करता हूं और इस पर वास्तव में महत्वपूर्ण कुछ भी नहीं है।

ये बॉट (या लोग) सर्वर को कैसे ढूंढ रहे हैं? क्या ऐसा होना आम है? क्या ये कनेक्शन खतरनाक हैं / मैं इसके बारे में क्या कर सकता हूं?

इसके अलावा, आईपी के बहुत सारे प्रकार के देशों से आते हैं, और एक मेजबाननाम का समाधान नहीं करते हैं।

यहाँ उदाहरणों का एक समूह है जो इसके माध्यम से आता है:

एक बड़े झाडू में, इस बॉट ने phpmyadmin को खोजने की कोशिश की:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

मुझे इनमें से बहुत कुछ मिला:

"HEAD / HTTP/1.0" 403 - "-" "-"

बहुत से "प्रॉक्सीहेडर.एफ़पी", मुझे जीईटी में http: // लिंक के साथ काफी अनुरोध मिलते हैं

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"जुडिये"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"SoapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

और यह वास्तव में स्केच हेक्स बकवास ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

खाली

"-" 408 - "-" "-"

वह सिर्फ इसका सार है। मैं सभी प्रकार के कबाड़ प्राप्त करता हूं, यहां तक ​​कि win95 उपयोगकर्ता-एजेंटों के साथ भी।

धन्यवाद।

जवाबों:


13

इंटरनेट में आपका स्वागत है :)

  • उन्होंने आपको कैसे पाया: संभावना है, जानवर बल आईपी स्कैनिंग। जैसे ही उन्होंने पाया कि आपके मेजबान पर भेद्यता स्कैनिंग की उनकी निरंतर धारा।
  • भविष्य में रोकने के लिए: पूरी तरह से परहेज नहीं करते हुए, आप अपाचे या दर सीमाओं पर Fail2Ban जैसे सुरक्षा उपकरणों को रोक सकते हैं - या मैन्युअल रूप से प्रतिबंध लगाने - या ACL की स्थापना
  • यह किसी भी बाहरी सुलभ हार्डवेयर पर देखने के लिए बहुत सामान्य है जो सामान्य बंदरगाहों पर प्रतिक्रिया करता है
  • यह केवल खतरनाक है यदि आपके पास होस्ट पर सॉफ़्टवेयर के अप्रकाशित संस्करण हैं जो असुरक्षित हो सकते हैं। ये देखने के लिए केवल अंधे प्रयास हैं कि क्या आपको इन स्क्रिप्ट किडियों के लिए कुछ भी 'कूल' मिल गया है। इसे ऐसे समझें कि कोई व्यक्ति कार के दरवाजों की पार्किंग में घूम रहा है, यह देखने के लिए कि क्या वे अनलॉक हैं, सुनिश्चित करें कि आपका है और संभावना है कि वह आपको अकेला छोड़ देगा।

2
अपने हमले की सतह को स्वचालित स्कैन में कम करने का एक तरीका अपने वेब सर्वर को एक गैर-मानक पोर्ट पर चलाना है। यदि आप केवल निजी उपयोग के लिए वेब सर्वर चला रहे हैं, तो संभावना है कि यह स्वीकार्य होगा। यह आपके विशिष्ट सिस्टम की ओर लक्षित हमलों से बचाने के लिए कुछ नहीं करेगा, हालाँकि। अपने सिस्टम को "स्टील्थ मोड" में डालने के लिए फायरवॉल सेट करना भी एक अच्छा विचार है, जो अवांछित सेवाओं तक किसी भी पहुंच को अवरुद्ध करता है। इसमें ICMP Echo रिक्वेस्ट्स आदि को ब्लॉक करना शामिल है
प्रति वॉन Zweigbergk

1

ये केवल सर्वरों में कमजोरियों को खोजने की कोशिश कर रहे लोग हैं। लगभग निश्चित रूप से जटिल मशीनों द्वारा किया जाता है।

यह सिर्फ कुछ निश्चित आईपी रेंज को स्कैन करने वाले लोग होंगे - आप phpMyAdmin एक से देख सकते हैं, कि यह पीएमए के एक बुरी तरह से सुरक्षित पूर्व-स्थापित संस्करण को खोजने की कोशिश कर रहा है। एक बार यह मिल जाने के बाद, यह सिस्टम में आश्चर्यजनक पहुंच प्राप्त कर सकता है।

सुनिश्चित करें कि आपके सिस्टम को अद्यतित रखा गया है, और आपके पास कोई ऐसी सेवा नहीं है जिसकी आवश्यकता नहीं है।


इसके अलावा robots.txt फ़ाइल निर्देशित हमलों को जन्म दे सकती है। यदि आपके पास कुछ ऐसा है जो आप लोगों को नहीं देखना चाहते हैं, तो इसे अपने robots.txt फ़ाइल में विज्ञापित न करें ... इसे ACLs और प्रमाणित एक्सेस के साथ सुरक्षित रखें।
लाल टक्स

1

ये ज्ञात सुरक्षा कारनामों के लिए स्कैन किए गए रोबोट हैं। वे बस पूरे नेटवर्क रेंज को स्कैन करते हैं और इसलिए आपके जैसे अनजाने सर्वरों को खोज लेंगे। वे अच्छा नहीं खेल रहे हैं और अपने robots.txt की परवाह नहीं करते हैं। यदि वे एक भेद्यता पाते हैं, तो वे इसे लॉग इन करेंगे (और आप शीघ्र ही मैन्युअल हमले की उम्मीद कर सकते हैं) या स्वचालित रूप से आपकी मशीन को रूटकिट या इसी तरह के मैलवेयर से संक्रमित करेंगे। इस बारे में आप बहुत कम कर सकते हैं और यह इंटरनेट पर सिर्फ सामान्य व्यवसाय है। वे कारण हैं कि आपके सॉफ़्टवेयर को स्थापित करने के लिए हमेशा नवीनतम सुरक्षा फ़िक्सेस रखना महत्वपूर्ण है।


1

जैसा कि अन्य ने उल्लेख किया है, वे ब्रूट बल स्कैनिंग कर रहे हैं। यदि आप एक गतिशील आईपी पते पर हैं, तो वे आपके पते को स्कैन करने की अधिक संभावना हो सकती है। (निम्नलिखित सलाह लिनक्स / UNIX को मानती है, लेकिन अधिकांश विंडोज सर्वर पर लागू हो सकती है।)

उन्हें ब्लॉक करने के सबसे आसान तरीके हैं:

  • फ़ायरवॉल पोर्ट 80 और केवल आपके सर्वर तक पहुँचने के लिए सीमित आईपी पतों की अनुमति देता है।
  • अपने अपाचे कॉन्फ़िगरेशन में एसीएल (एस) को कॉन्फ़िगर करें जो केवल निश्चित पते को आपके गंभीर उपयोग की अनुमति देता है। (आपके पास अलग-अलग सामग्री के लिए अलग नियम हो सकते हैं।)
  • इंटरनेट से पहुंच के लिए प्रमाणीकरण की आवश्यकता होती है।
  • अपने निर्माण को बाहर करने के लिए सर्वर हस्ताक्षर बदलें। (बहुत अधिक बढ़ी हुई सुरक्षा नहीं है, लेकिन संस्करण विशिष्ट हमलों को थोड़ा और कठिन बना देता है।
  • स्वचालित रूप से उनके पते को अवरुद्ध करने के लिए, विफलता 2ban जैसे उपकरण स्थापित करें। मैचिंग पैटर्न (एस) सही होने से थोड़ा काम हो सकता है, लेकिन अगर 400 सीरीज़ की त्रुटियां आपके लिए असामान्य हैं, तो यह मुश्किल नहीं है।

आपके सिस्टम को होने वाले नुकसान को सीमित करने के लिए सुनिश्चित करें कि अपाचे प्रक्रिया केवल निर्देशिकाओं और फ़ाइलों को लिख सकती है जो इसे बदलने में सक्षम होनी चाहिए। ज्यादातर मामलों में सर्वर को केवल उस सामग्री तक पहुंच की आवश्यकता होती है जो वह कार्य करता है।


0

इंटरनेट सार्वजनिक स्थान है, इस प्रकार सार्वजनिक आईपी शब्द। आप जनता को इनकार करने का कोई रास्ता तय करके नहीं छोड़ सकते (vpn, acl on a firewall, directaccess इत्यादि)। ये कनेक्शन खतरनाक होते हैं क्योंकि अंततः कोई आपके द्वारा शोषण करने की तुलना में तेज हो जाएगा। मैं जवाब देने से पहले किसी तरह के प्रमाणीकरण पर विचार करूंगा।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.