Как являются эти 'плохие боты' нахождением моего закрытого веб-сервера?
Добро пожаловать в Интернет :)
- Как они нашли вас: Скорее всего, сканирование IP методом грубой силы. Точно так же, как их постоянный поток сканирования уязвимостей на вашем хосте, как только они их обнаружат.
- Чтобы предотвратить в будущем: Хотя полностью избежать этого нельзя, вы можете заблокировать инструменты безопасности, такие как Fail2Ban на Apache или ограничения скорости - или вручную запретить - или настройка ACL
- . Очень часто это можно увидеть на любом внешнем доступном оборудовании, которое отвечает на общие порты
- . Это опасно только в том случае, если у вас есть незащищенные версии программного обеспечения на хосте, которые могут быть уязвимы. Это просто слепые попытки увидеть, есть ли у вас что-нибудь «крутое», чтобы эти скриптовые детишки могли повозиться. Думайте об этом, как о человеке, который ходит по стоянке, пытаясь проверить двери машины, не заперты ли они, убедитесь, что это ваш, и есть вероятность, что он оставит ваше в покое.
Интернет - это публичное пространство, отсюда и термин публичный IP. Вы не можете скрыть, кроме как установив какой-либо способ запретить общедоступный (vpn, acl на брандмауэре, прямой доступ и т. Эти связи опасны, поскольку в конечном итоге кто-то будет быстрее использовать вас, чем вы исправляете. Я бы подумал о какой-то аутентификации, прежде чем отвечать.
Это просто люди, пытающиеся найти уязвимости в серверах. Почти наверняка это делается на компримированных машинах.
Это будут просто люди, сканирующие определенные диапазоны IP-адресов - вы можете видеть из phpMyAdmin, что он пытается найти плохо защищенную предустановленную версию PMA. Как только он будет найден, он сможет получить неожиданный доступ к системе.
Убедитесь, что ваша система постоянно обновляется, и у вас нет никаких услуг, которые не требуются.
Это роботы, сканирующие известные уязвимости системы безопасности. Они просто сканируют целые сетевые диапазоны и поэтому находят нерекламируемые серверы, подобные вашему. Они плохо играют и не заботятся о вашем robots.txt. Если они обнаружат уязвимость, они либо зарегистрируют ее (и вскоре вы можете ожидать ручную атаку), либо автоматически заразят вашу машину руткитом или аналогичным вредоносным ПО. С этим мало что можно сделать, и это просто нормальный бизнес в Интернете. Они являются причиной того, почему так важно всегда устанавливать последние исправления безопасности для вашего программного обеспечения.
Как отмечали другие, они, вероятно, выполняют сканирование методом грубой силы. Если вы используете динамический IP-адрес, они могут с большей вероятностью просканировать ваш адрес. (Следующий совет предполагает Linux / UNIX, но большинство из них может быть применено к серверам Windows.)
Самые простые способы заблокировать их:
- Порт 80 межсетевого экрана и разрешить доступ к вашему серверу только ограниченному диапазону IP-адресов.
- Настройте ACL в конфигурации apache, которая разрешает доступ к вашему серверу только определенному адресу. (У вас могут быть разные правила для разного контента.)
- Требовать аутентификации для доступа из Интернета.
- Измените подпись сервера, чтобы исключить вашу сборку. (Не сильно повышает безопасность, но делает атаки на конкретные версии немного сложнее.
- Установите такой инструмент, как fail2ban, для автоматической блокировки их адресов. Правильный подбор шаблонов может потребовать некоторой работы, но если ошибки 400-й серии являются необычными для вашего зрения, это может быть не так уж и сложно.
Чтобы ограничить ущерб, который они могут нанести вашей системе, убедитесь, что процесс apache может писать только в каталоги и файлы, которые он должен иметь возможность изменять. В большинстве случаев серверу требуется доступ только для чтения к обслуживаемому контенту.