Security

中國黑客機器人試圖利用我們的系統 24/7

  • June 24, 2015

我們的網站不斷受到 IP 地址解析為中國的機器人的攻擊,試圖利用我們的系統。雖然他們的攻擊被證明是不成功的,但他們一直在消耗我們的伺服器資源。攻擊樣本如下所示:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

他們幾乎 24/7 全天候攻擊我們的伺服器,每秒多次,尋找漏洞利用。IP 地址總是不同的,因此為這些攻擊添加規則到防火牆只是作為它們再次啟動之前的短期解決方案。

我正在尋找一種可靠的方法來在網站提供服務時辨識這些攻擊者。是否有一種程式方式可以在辨識 IP 地址後向 IIS 添加規則,或者是否有更好的方式來阻止這些請求?

任何用於辨識和阻止這些 IP 地址的想法或解決方案都將受到歡迎。謝謝!

請不要將整個國家,甚至是大地址塊列入黑名單。

考慮這些行動的影響。 即使阻止單個地址也可能會阻止大量使用者連接到您的站點。主機的合法所有者完全有可能不知道他們的盒子是*0wned*.

您確實顯示了“24/7”的流量……但我會要求您評估您的資源消耗是否真的很重要(我從該日誌片段中看到三個點擊次數最多)。

調查你的選擇。確保您的伺服器確實經過加固,進行您自己的漏洞評估並審查您的站點程式碼。查看每個源速率限制器Web 應用程序防火牆等。保護您的網站,保護您的資源,並為您的業務需求做一些有意義的事情。

我說這個人的服務曾經經常被中國的防火牆阻止。如果您的網站最終足夠好,也許他們甚至會阻止他們的使用者訪問您

引用自:https://serverfault.com/questions/163502

相關問答

Web-Server

為什麼 IIS 拒絕提供 ASP.NET 內容?

  • May 11, 2019
檢視問答
Security

精簡但有效的 linux IDS / IPS / WAF?

  • March 14, 2014
檢視問答
Security

這個使用者名是做什麼用的,它是如何創建的?

  • December 19, 2012
檢視問答
Windows-Server-2003

IIS 上的網站需要登錄名和密碼才能訪問

  • July 23, 2010
檢視問答
Ubuntu

配置 Ubuntu 20.04 伺服器

  • May 1, 2020
檢視問答
Windows-Server-2003

Windows Server 2008 - IIS 7 - ASP.NET - 我的 Web 伺服器是否進入睡眠狀態?我如何讓它保持清醒?

  • October 15, 2019
檢視問答