Como esses 'bots ruins' encontram meu servidor da Web fechado?

8

Instalei o Apache há um tempo atrás e uma rápida olhada no meu access.log mostra que todos os tipos de IPs desconhecidos estão se conectando, principalmente com o código de status 403, 404, 400, 408. Não tenho idéia de como eles estão encontrando meu IP, porque eu o uso apenas para uso pessoal e adicionei um robots.txt esperando manter os mecanismos de pesquisa afastados. Bloqueio índices e não há nada realmente importante nisso.

Como esses bots (ou pessoas) estão encontrando o servidor? É comum que isso aconteça? Essas conexões são perigosas / o que posso fazer sobre isso?

Além disso, muitos IPs vêm de todos os tipos de países e não resolvem um nome de host.

Aqui estão alguns exemplos do que acontece:

em uma grande varredura, esse bot tentou encontrar o phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

eu recebo muitos destes:

"HEAD / HTTP/1.0" 403 - "-" "-"

lotes de "proxyheader.php", recebo muitas solicitações com links http: // no GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"CONECTAR"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

e essa porcaria hexadecimal realmente esboçada ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

esvaziar

"-" 408 - "-" "-"

Essa é apenas a essência disso. Eu recebo todo tipo de lixo, mesmo com os agentes do win95.

Obrigado.

bryc
fonte

Respostas:

13

Bem-vindo à internet :)

  • Como eles o encontraram: as chances são de varredura IP de força bruta. Assim como o fluxo constante de varredura de vulnerabilidades em seu host, uma vez que o encontraram.
  • Para evitar no futuro: Embora não seja totalmente evitável, você pode inibir ferramentas de segurança como Fail2Ban no Apache ou limites de taxa - ou banir manualmente - ou configurar ACLs
  • É muito comum ver isso em qualquer hardware externo acessível que responda em portas comuns
  • Só é perigoso se você tiver versões sem patch do software no host que possam estar vulneráveis. Essas são apenas tentativas cegas de ver se você tem algo "legal" para brincar com essas crianças do script. Pense nisso como alguém andando pelo estacionamento tentando portas do carro para ver se elas estão destrancadas, verifique se as suas estão e as chances são de que ele as deixe em paz.
gelo fino
fonte
2
Uma maneira de reduzir sua superfície de ataque a verificações automatizadas é executar o servidor da Web em uma porta não padrão. Se você estiver executando apenas o servidor da Web para uso pessoal, é provável que isso seja aceitável. Isso não fará nada para se proteger contra ataques direcionados ao seu sistema específico. Também é uma boa ideia configurar um firewall para colocar seu sistema no "modo furtivo", bloqueando qualquer acesso a serviços indesejados. Isso inclui o bloqueio de solicitações de eco do ICMP, etc.
Por von Zweigbergk
1

Essas são apenas pessoas tentando encontrar vulnerabilidades nos servidores. Quase certamente feito por máquinas comprimidas.

Serão apenas pessoas verificando determinados intervalos de IP - você pode ver no phpMyAdmin, que está tentando encontrar uma versão de pré-instalação mal protegida do PMA. Uma vez encontrado, ele pode obter um acesso surpreendente ao sistema.

Verifique se o seu sistema está atualizado e se você não possui nenhum serviço desnecessário.

Martin Alderson
fonte
Além disso, o arquivo robots.txt pode levar a ataques direcionados. Se você tem algo que não quer que as pessoas vejam, não anuncie no seu arquivo robots.txt ... proteja-o com ACLs e acesso autenticado.
Red Tux
1

Estes são robôs que procuram explorações de segurança conhecidas. Eles simplesmente analisam intervalos de rede inteiros e, portanto, encontram servidores não anunciados como o seu. Eles não estão se saindo bem e não se importam com o seu robots.txt. Se eles encontrarem uma vulnerabilidade, eles a registrarão (e você pode esperar um ataque manual em breve) ou infectarão automaticamente sua máquina com um rootkit ou malware semelhante. Há muito pouco que você pode fazer sobre isso e são apenas negócios normais na internet. Essa é a razão pela qual é importante sempre ter as correções de segurança mais recentes do seu software instaladas.

Ingmar Hupp
fonte
1

Como outros observaram, eles provavelmente estão fazendo a varredura de força bruta. Se você estiver em um endereço IP dinâmico, é mais provável que ele verifique o seu endereço. (O conselho a seguir assume o Linux / UNIX, mas a maioria pode ser aplicada aos servidores Windows.)

As maneiras mais fáceis de bloqueá-los são:

  • A porta de firewall 80 e permite apenas um intervalo limitado de endereços IP para acessar seu servidor.
  • Configure ACL (s) na sua configuração do apache, que permite apenas que determinado endereço acesse seu servidor. (Você pode ter regras diferentes para diferentes conteúdos.)
  • Exigir autenticação para acesso da Internet.
  • Altere a assinatura do servidor para excluir sua compilação. (Não há muito aumento de segurança, mas torna os ataques específicos da versão um pouco mais difíceis.
  • Instale uma ferramenta como fail2ban, para bloquear automaticamente o endereço. Acertar o (s) padrão (s) correspondente (s) pode levar um pouco de trabalho, mas se os erros da série 400 são incomuns para sua visão, pode não ser tão difícil.

Para limitar o dano que eles podem causar ao seu sistema, verifique se o processo apache pode gravar apenas em diretórios e arquivos que ele deve poder alterar. Na maioria dos casos, o servidor precisa apenas de acesso de leitura ao conteúdo que ele serve.

BillThor
fonte
0

A internet é espaço público, portanto, o termo ip público. Você não pode se esconder, exceto definindo uma maneira de negar o público (vpn, acl em um firewall, acesso direto etc.). Essas conexões são perigosas, pois, eventualmente, alguém será mais rápido em explorá-lo do que em patches. Eu consideraria algum tipo de autenticação antes de responder.

Jim B
fonte