中国黑客机器试图利用我们的系统24/7

我们的站点一直受到IP地址解析为中国的僵尸程序的不断攻击，试图利用我们的系统。尽管证明他们的攻击没有成功，但它们却不断消耗着我们的服务器资源。攻击示例如下所示：

2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -

他们乱七八糟地每秒两次攻击我们的服务器，以寻找漏洞。IP地址始终是不同的，因此为这些攻击在防火墙中添加规则仅作为短期解决方案，然后再重新启动。

我正在寻找一种可靠的方法来在提供网站时识别这些攻击者。是否存在通过编程的方式在标识IP地址后向IIS添加规则的方法，还是阻止这些请求的更好方法？

用于识别和阻止这些IP地址的任何想法或解决方案将非常受欢迎。谢谢！

请不要将整个国家（甚至大型地址阻止）列入黑名单。

考虑这些动作的含义。 即使阻止单个地址，也可能会阻止大量用户连接到您的站点。主机的合法所有者完全有可能不知道自己的盒子曾经是0wned。

您确实显示流量“ 24/7” ...但是我想请您评估您资源的消耗是否真的很严重（我看到该日志摘要中第二次达到最大值）。

请调查您的选择。确保服务器确实得到加固，进行自己的漏洞评估并检查站点代码。查看每个源的速率限制器，Web应用程序防火墙等。保护您的网站，保护您的资源，并做对您的业务需求有意义的事情。

我说的是这样一个人，他的服务曾经被中国防火墙定期封锁。如果您的网站最终足够好，也许他们甚至会阻止他们的用户访问您！

我封锁了整个国家。中国人仅从我的3000多个站点中购买了一件商品，但过去却占了我带宽的18％。在这18％中，其中约60％是寻找脚本的机器人。

• 更新-多年后，我关闭了对中国的封锁。百度的一些关键术语使我充满了真正的非机器人流量。在一周时间内获得了约40万次点击之后，我才用简体中文创建了一个特殊页面，然后才进行了一次销售。不值得的带宽。我正要阻止他们。

您还可以设置一个简单的htaccess规则，以在每次他们查找不带大小写的phpmyadmin开头的内容时将其重定向到FBI的中文版本。

您可以尝试研究snort，它是一个入侵检测系统（由于我不能链接多个URL，因此可以在Wikipedia上搜索它）。检查您的防火墙是否已经有东西。IDS扫描传入的流量，如果发现有漏洞，则可以将其阻止在防火墙上。

除此之外，您实际上无能为力。我不会打扰通知ip地址的滥用联系人，因为除非您看到来自单个ip地址的大量攻击，否则不太可能产生任何结果。唯一的建议是使服务器保持最新状态，并使用任何最新的第三方脚本，这样您就不会成为这些攻击之一的受害者。

那么，根据APNIC的注册IANA的IP地址58.223.238.6是分配给中国电信块的一部分-与整个块是58.208.0.0 - 58.223.255.255。我不确定您要如何处理它。如果是我，我将在规则中屏蔽整个地址范围，并完成此操作。但这对您而言是个焦灼的地球政策，实在令人难以接受。

我不是Web管理员，所以不妨一概而论，但是您可以制作一些东西来监视一组IP范围（中国）的访问，然后如果有活动指向，则给他们启动。开发尝试。

高温超导

可能是时候研究好的硬件解决方案了。具有IPS模块的Cisco ASA几乎可以像您将要获得的一样坚如磐石。

http://www.cisco.com/en/US/products/ps6825/index.html

McAfee企业硬件设备（是对以前的Secure Computing Sidewinder系列的购买）具有地理位置功能，可让您将过滤器应用于特定的国家或地区。但是，如果您也有大量来自中国的合法流量，则可能很难达到正确的平衡。

如果您使用的是IIS-hdgreetings dot com提供了一个名为IISIP的好程序，它将使用自定义文本文件通过IP或Range更新您的服务器阻止列表，或者也可以使用Okean dot com的更新列表完全阻止中国或韩国。

阻止此行为的部分逻辑是，如果仅阻止它们-它消耗了要阻止的服务器资源，因此他们会继续尝试。如果将它们重定向到循环-它会消耗其服务器。同样，如果将它们定向到受检查的材料，则它们又将受到其自身系统的检查，并有可能阻止返还。

对于黑客机器人尝试phpmyadmin等的问题，我的解决方案是读取我的日志文件，并在他们要查找的wwwroot中放置所有文件夹，然后将每个文件夹都放入他们尝试访问的php文件名。然后，每个php文件仅包含一个重定向到其他位置的文件-因此，当他们访问它时-会将其发送到其他地方。由于我的网站都使用主机头-完全不影响主机头。Google查找将提供有关如何编写非常简单的php脚本进行重定向的信息。就我而言，我将它们发送到蜜罐项目，或者将它们发送到脚本，以防万一收割时生成无限的垃圾邮件。另一种选择是将它们重定向回自己的ip或将自己检查的内容。

对于使用IIS的中国ftp词典黑客机器人，有一个名为banftpips的不错的脚本，它将在尝试失败时自动将攻击者IP添加到禁止列表中。开始工作有点棘手，但确实表现异常出色。使其工作的最佳方法是使用脚本的多个副本，并使用首次尝试使用的名称，因为脚本似乎只接受一个名称而不是数组。例如：管理员，管理员，Abby等。也可以通过Google找到。

这些解决方案可在IIS5 Win2K上运行，也可能在较新的IIS上运行。

安装Config Server防火墙（CSF）并设置安全性以阻止任何重击。

我们在所有服务器上运行它。

首先，要确保所有内容都是最新的。隐藏服务（!!!） phpmyadmin （!!!）。进行Whois也是一个好主意在这些IP地址上并将此活动报告给其滥用电子邮件地址。但是它可能是中国政府，所以您可以给他们一些笑声。 这是有关向FBI报告问题的信息。

在所有现实中，您都需要自己处理问题。您需要先测试服务器的漏洞，然后才能找到漏洞。

Web应用程序测试：

1. NTOSpier（$$$）-非常好，这可能是比他们更好的技术。
2. Acunetix（$）-好，但是不好。它将发现问题。
3. Wapiti和w3af（开源），您都应该运行它们。您应该运行每个可用的w3af攻击模块。即使您使用acuentix或ntospider，您仍然应该运行w3af，它仍有可能发现更多问题。

网络服务测试：

1. 使用所有插件运行OpenVAS。

2. 使用完整的TCP / UDP扫描运行NMAP。对不需要的所有内容进行防火墙保护。

如果您不能解决任何问题，请找专业人士。

“请不要将整个国家/地区或大型地址阻止者列入黑名单。请考虑这些操作的含义。即使阻止单个地址，也可能会阻止大量用户与您网站的连接。完全有可能是主机的合法所有者。不知道他们的箱子已经被归零了。”

我认为这完全取决于网站的类型和目标受众，无论是否封锁整个国家都是明智的。当然，在上海的主机的合法所有者可能不知道他的计算机正在探测属于您公司的网站。但是，假设您的公司有本地受众，或者假设该网站是您员工的Outlook Web Access门户，那么是否存在阻止来自上海的用户访问该网站的问题？

网络中立当然是一件好事，但是并非所有网站都必须服务于全球受众，如果您可以通过阻止不提供合法网站访问者的国家/地区的访问来预防问题，那为什么不这样做呢？

通知中国的虐待联系是不可能的。

他们通常不会做出反应，这些滥用电子邮件地址甚至根本不存在。

我要阻止所有中文ip地址，或者至少要对它们进行门控并将其访问限制到最低限度。