Come sono questi "cattivi robot" che trovano il mio server web chiuso?

Ho installato Apache un po 'di tempo fa, e un rapido sguardo al mio access.log mostra che tutti i tipi di IP sconosciuti stanno collegando, per lo più con un codice di stato 403, 404, 400, 408. Non ho idea di come stanno trovando il mio IP, perché lo uso solo per uso personale e ho aggiunto un robots.txt sperando che avrebbe mantenuto i motori di ricerca lontani. Blocco degli indici e non c'è niente di veramente importnte su di esso.

Come sono questi bot (o persone) che trovano il server? È comune che questo accada? Le connessioni sono pericolose, cosa posso fare?

  • Apache smette di comunicare con memcache dopo aver creato troppi vhost
  • VPS sfruttato per Bitcoin Mining. Come identificare il difetto?
  • È apache 2.2.15 vulnerabile su CentOS 6.3?
  • Come invertire il proxy con o senza slash a trailing
  • Cosa faccio a scaricare per get un ambiente Apache 2.0.x + PHP 4.4.x?
  • Dovrebbe inserire la configuration Apache in apache conf o .htaccess?
  • Inoltre, molti IP provengono da tutti i tipi di paesi e non risolvono un nome host.

    Ecco un sacco di esempi di ciò che viene attraverso:

    in una grande spazzata, questo bot ha cercato di trovare phpmyadmin:

    "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu" "GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu" "GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu" "GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu" 

    ottengo molti di questi:

     "HEAD / HTTP/1.0" 403 - "-" "-" 

    un sacco di "proxyheader.php", ho richieste piuttosto un po 'con http: // link nel GET

     "GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 

    "COLLEGARE"

     "CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-" 

    "soapCaller.bs"

     "GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner" 

    e questo schifoso esagio davvero esuberante ..

     "\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-" 

    vuoto

     "-" 408 - "-" "-" 

    Questa è solo la parte di esso. Ottengo tutti i tipi di spazzatura, anche con gli agenti utente di win95.

    Grazie.

  • Permesso vietato su localhost con apache2
  • Trucco Apache .htaccess per autenticare una sola volta per tutti i sottodomini?
  • Apache riport uno stato di 200 per gli URL non esistenti di WordPress
  • inoltra la port pubblica 81 fino alla port 80 su ip locale
  • Apache non si avvia: errore di syntax ... DocumentRoot deve essere una directory
  • Come scrivere regole per i nomi netti persistenti?
  • 5 Solutions collect form web for “Come sono questi "cattivi robot" che trovano il mio server web chiuso?”

    Benvenuti in internet 🙂

    • Come li hanno trovati: è probabile che la scansione IP sia bruta. Proprio come il loro stream continuo di scansione vulnerabilità sul tuo ospite una volta che lo hanno trovato.
    • Per evitare in futuro: sebbene non sia totalmente evitabile, è ansible inibire gli strumenti di sicurezza come Fail2Ban su Apache o limiti di velocità – o manualmente vietare – o impostare ACL
    • È molto comune vedere questo su qualsiasi hardware esterno accessibile che risponda alle porte comuni
    • È pericoloso solo se si dispone di versioni non software di software sull'host che possono essere vulnerabili. Questi sono solo ciechi tentativi di vedere se hai qualcosa di 'cool' per questi kiddies di script per fare un pizzico. Pensate a qualcuno che cammini intorno al parcheggio cercando le porte delle auto per vedere se sono sbloccate, assicurarsi che il tuo sia e le probabilità sono che lascerà il tuo solo.

    Queste sono solo persone che cercano di trovare vulnerabilità nei server. Quasi certamente fatto da macchine compresse.

    Saranno solo persone che eseguono la scansione di determinati intervalli IP – è ansible vedere da phpMyAdmin uno che cerca di trovare una versione preinstallata fortemente protetta di PMA. Una volta trovata una cosa, può avere accesso sorprendente al sistema.

    Assicurarsi che il sistema sia aggiornato e non disponga di servizi non necessari.

    Questi sono i robot che esplorano gli exploit di sicurezza noti. Essi semplicemente interrogano interi intervalli di networking e troveranno quindi server non appartenenti al tuo. Non stanno giocando bene e non ti interessa il tuo robots.txt. Se trovano una vulnerabilità, lo registrano (e si può aspettarsi un attacco manuale a breve) o infetta automaticamente la macchina con un rootkit o un malware simile. C'è molto poco che puoi fare a questo proposito ed è solo un normale business su internet. Sono il motivo per cui è importnte avere sempre le più recenti correzioni di sicurezza per il software installato.

    Come altri hanno notato, probabilmente stanno facendo la scansione della forza bruta. Se si è in un indirizzo IP dinamico, potrebbe essere più probabile che la scansione del proprio indirizzo. (I seguenti consigli assumono Linux / UNIX, ma la maggior parte può essere applicata a Windows Server.)

    I modi più semplici per bloccarli sono:

    • Firewall 80 e consentono solo una gamma limitata di indirizzi IP per accedere al server.
    • Configurare gli ACL nella configuration apache che consente solo ad un determinato indirizzo di accedere alla tua sever. (È ansible avere regole diverse per diversi contenuti.)
    • Richiede l'authentication per l'accesso da Internet.
    • Modificare la firma del server per escludere la tua build. (Non c'è molta maggiore sicurezza, ma rende attacchi specifici della versione un po 'più difficile.
    • Installare uno strumento come fail2ban, per bloccare automaticamente il proprio indirizzo. Ottenere il pattern corrispondente può richiedere un po 'di lavoro, ma se gli errori di 400 serie non sono comuni per la vista non può essere così difficile.

    Per limitare i danni che possono fare al sistema, assicurarsi che il process apache possa scrivere solo in directory e file che dovrebbe essere in grado di modificare. Nella maggior parte dei casi il server necessita solo dell'accesso di lettura al contenuto che serve.

    Internet è spazio pubblico, quindi il termine ip pubblico. Non si può hide, tranne che impostando un modo per negare il pubblico (vpn, acl su un firewall, directaccess, ecc.). Queste connessioni sono pericolose in quanto alla fine qualcuno sarà più veloce a sfruttarti di quello che stai per patchare. Vorrei considerare una sorta di authentication prima di rispondere.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.