Китайские Боты Хакера, пытающиеся использовать наши системы 24/7

Можно попытаться изучить фырканье, которое является Системой обнаружения проникновения (ищите его на Википедию, поскольку я не могу связать больше чем один URL). Проверьте, что Ваш брандмауэр уже может иметь что-то. IDS сканирует входящий трафик и если он видит использование, он знает об этом, может заблокировать его на брандмауэре.

Кроме этого, не очень можно действительно сделать. Я не потрудился бы уведомлять контакт злоупотребления IP-адреса, поскольку маловероятно, что что-либо будет следовать из него, если Вы не будете, посмотрите много нападений от единственного IP-адреса. Только другое предложение, совершенствуют Ваши серверы и любые сторонние сценарии, которые Вы используете актуальный, таким образом, Вы не становитесь жертвой одного из этих нападений.

Мог бы быть пора изучить хорошее аппаратное решение. Cisco ASA с модулем IPS был бы о как близко к горному телу, когда Вы собираетесь добраться.

http://www.cisco.com/en/US/products/ps6825/index.html

Ну, согласно паническому реестру IANA, IP-адрес 58.223.238.6 является частью блока, присвоенного China Telecom - при этом целый блок 58.208.0.0 - 58.223.255.255. Я не уверен точно, как Вы хотите приблизиться к нему. Если бы это был я, то я заблокировал бы весь диапазон адресов в своих правилах и был бы сделан с ним. Но это могло бы быть слишком большой политики выжженной земли для Вас, чтобы быть довольным.

Я не веб-администратор, так возьмите это с мелкой частицей соли, но Вы смогли обрабатывать что-то, что контролирует доступ от ряда диапазонов IP (Китай) и затем увольняет их, если существует действие, которое указывает на попытки эксплуатации.

HTH

Аппаратные устройства предприятия McAfee (выкуп бывшей серии Secure Computing Sidewinder) имеют функцию Геолокации, которая позволяет Вам применить фильтры к конкретным странам или регионам. Это может быть хитро для разбираний в балансе хотя, если у Вас есть большой правомерный трафик из Китая также.

Брандмауэр сервера конфигурации (CSF) установки и набор безопасность для блокирования любого, который стучит.

Мы выполняем его на ВСЕХ наших серверах.

Прежде всего удостоверьтесь, что все актуально. Скройте сервисы как (!!!) phpmyadmin (!!!). Это также была бы хорошая идея сделать whois на этих IP-адресах и сообщить об этом действии их адресу электронной почты злоупотребления. Но, вероятно, китайское правительство, таким образом, Вы просто дадите им что-то для смеха о. Вот информация о сообщании о проблеме к ФБР.

Во всей действительности необходимо взять дело в свои руки. Необходимо протестировать сервер на уязвимости, прежде чем они найдут тот.

Тестирование веб-приложения:

1. NTOSpier ($$$) - Очень хороший, и это - вероятно, лучшая технология, чем они имеют.
2. Acunetix ($) - Хороший, но не большой. Это найдет проблемы.
3. Вапити и w3af (открытый исходный код), необходимо выполнить их обоих. Необходимо выполнить каждый доступный модуль нападения w3af. Даже если Вы идете с acuentix или ntospider, необходимо все еще выполнить w3af, существует шанс, он найдет больше проблем.

Тестирование сетевых служб:

1. Выполните OpenVAS со ВСЕМИ плагинами.

2. Выполненный NMAP с полным сканированием TCP/UDP. Брандмауэр все от этого Вам не нужно.

Если Вы не можете устранить ни одну из проблем, выше профессионал.

"Не помещайте в черный список все страны или даже большие блоки адреса. Рассмотрите последствия этих действий. Даже блокирование единственного адреса могло заблокировать возможность соединения на Ваш сайт для значительного количества пользователей. Совершенно возможно, что законные владельцы хостов не знают, что их поля были 0wned".

Я думаю, что это зависит полностью от типа веб-сайта и целевой аудитории, мудро ли блокирование всех стран. Несомненно, законный владелец хоста в Шанхае не мог бы знать, что его компьютер зондирует веб-сайт, принадлежащий Вашей компании. Но предположите, что Ваша компания имеет локальную аудиторию, или предположите, что веб-сайт является порталом Веб-доступа Outlook для Ваших сотрудников - действительно ли это - проблема, блокирующая веб-сайт для пользователей из Шанхая?

Конечно, сетевой нейтралитет является хорошей вещью, но не все веб-сайты обязательно должны служить мировой аудитории, и если можно предотвратить проблемы путем блокирования доступа из стран, которые не предоставляют законным посетителям веб-сайта - почему бы не так?

Я блокирую все страны. Китайцы ТОЛЬКО приобрели единственный товар из-за 3000 из моих сайтов, и все же они раньше объясняли 18% моей пропускной способности. Из тех 18% приблизительно 60% из него были ботами, ища сценарии для использования.

• обновление - После многих лет я выключил блокирующийся Китай. Я лавинно рассылался реальным трафиком небота в нескольких ключевых терминах от Baidu. Приблизительно после 400 000 хитов более чем неделя я сделал одну продажу только после того, как я создал специальную страницу на Упрощенном китайском. Не стоящий пропускной способности. Я возвращаюсь к блокированию их.

Вы могли также установить простое htaccess правило для перенаправления их к китайской версии ФБР каждый раз, когда они ищут что-либо запускающееся с phpmyadmin без случая.

При использовании IIS - существует хорошая программа под названием IISIP от com точки hdgreetings, который обновит черные списки сервера IP или Диапазоном с помощью файла пользовательского текста или также блока, Китай или Корея полностью с помощью списков обновлений от Okean отмечают точкой com.

Часть логики в остановке этого - то, что, если они только заблокированы - она использует ресурсы сервера для блокирования, и они пытаются. Если они перенаправляются к циклу - он использует их серверы вместо этого. Также - если они направлены к подвергнутым цензуре материалам - они будут в свою очередь подвергнуты цензуре их собственной системой и возможно предотвратили возврат.

Для проблемы ботов хакера, пробуя phpmyadmin и т.д. мое решение состояло в том, чтобы считать мои файлы журнала и сделать все папки в wwwroot, который они ищут, затем вставляет каждого php имена файлов, к которым они пытаются получить доступ. Каждый php файл затем просто содержит перенаправление к некоторому другому месту - поэтому, когда они получают доступ к нему - это отсылает их в другом месте. Поскольку мои сети все используют заголовки хоста - это не влияет на них вообще. Поиск Google обеспечит информацию о том, как записать очень простой сценарий PHP для перенаправления. В моем случае я отправляю их или в проект ловушки или отправляю их в сценарий, который генерирует бесконечный спам в случае, если они получают. Другая альтернатива должна перенаправить их назад к их собственному IP или к чему-то, что они подвергнут цензуре сами.

Для китайских ботов хакера словаря ftp с помощью IIS существует хороший сценарий, названный banftpips, который автоматически добавит IP взломщиков к списку запрета на неудачных попытках. Это немного хитро для получения работы, но действительно работает исключительно хорошо. Лучший способ заставить его работать состоит в том, чтобы использовать несколько копий сценария с помощью имени, которое сначала попробовали, поскольку сценарий только, кажется, принимает одно имя, а не массив. Пример: Администратор, администратор, abby и т.д. Это может быть найдено Google также.

Эти решения работают над IIS5 Win2K и вероятно также на более новом IIS также.

Невозможно проинформировать контактных лиц о нарушениях в Китае.

Они не реагируют, часто эти адреса электронной почты для злоупотреблений даже не существуют.

Я блокирую все китайские ip адресов, или, по крайней мере, блокировать их и ограничить их доступ до минимума.