Security

中國黑客機器人試圖利用我們的系統 24/7

  • June 24, 2015

我們的網站不斷受到 IP 地址解析為中國的機器人的攻擊,試圖利用我們的系統。雖然他們的攻擊被證明是不成功的,但他們一直在消耗我們的伺服器資源。攻擊樣本如下所示:

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

他們幾乎 24/7 全天候攻擊我們的伺服器,每秒多次,尋找漏洞利用。IP 地址總是不同的,因此為這些攻擊添加規則到防火牆只是作為它們再次啟動之前的短期解決方案。

我正在尋找一種可靠的方法來在網站提供服務時辨識這些攻擊者。是否有一種程式方式可以在辨識 IP 地址後向 IIS 添加規則,或者是否有更好的方式來阻止這些請求?

任何用於辨識和阻止這些 IP 地址的想法或解決方案都將受到歡迎。謝謝!

請不要將整個國家,甚至是大地址塊列入黑名單。

考慮這些行動的影響。 即使阻止單個地址也可能會阻止大量使用者連接到您的站點。主機的合法所有者完全有可能不知道他們的盒子是*0wned*.

您確實顯示了“24/7”的流量……但我會要求您評估您的資源消耗是否真的很重要(我從該日誌片段中看到三個點擊次數最多)。

調查你的選擇。確保您的伺服器確實經過加固,進行您自己的漏洞評估並審查您的站點程式碼。查看每個源速率限制器Web 應用程序防火牆等。保護您的網站,保護您的資源,並為您的業務需求做一些有意義的事情。

我說這個人的服務曾經經常被中國的防火牆阻止。如果您的網站最終足夠好,也許他們甚至會阻止他們的使用者訪問您

引用自:https://serverfault.com/questions/163502