这些“坏机器人”如何找到我关闭的网络服务器?

8

我已经安装了Apache一段时间,然后快速浏览一下access.log,发现各种各样的未知IP正在连接,大多数状态代码为403、404、400、408。我不知道它们是如何找到的我的IP,因为我仅将其用于个人用途,并添加了robots.txt,希望它可以使搜索引擎远离。我阻止索引,但没有什么真正重要的。

这些机器人(或人们)如何找到服务器?发生这种情况是否常见?这些连接是否危险/我该怎么办?

另外,许多IP来自各种国家,并且不解析主机名。

这是一堆有关结果的示例:

在一次大范围的扫描中,该机器人试图找到phpmyadmin:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

我得到很多这些:

"HEAD / HTTP/1.0" 403 - "-" "-"

很多“ proxyheader.php”,我在GET中使用http://链接收到了很多请求

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

“连接”

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

“ soapCaller.bs”

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

这个非常粗略的六角废话

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

空的

"-" 408 - "-" "-"

这只是要点。即使使用win95用户代理,我也会遇到各种各样的垃圾。

谢谢。

apache-2.2  web-crawler 
布莱克
source

Answers:

13

欢迎使用互联网:)

  • 他们如何找到您的:很有可能,暴力IP扫描。就像他们一发现主机就在他们的主机上不断进行漏洞扫描一样。
  • 为防止将来发生:尽管不是完全可以避免的,但是您可以禁止在Apache上使用Fail2Ban之类的安全工具或速率限制-或手动禁止-或设置ACL
  • 在任何可通过通用端口进行响应的外部可访问硬件上看到这种情况非常普遍
  • 当主机上未打补丁的软件版本可能容易受到攻击时,这才是危险的。这些只是盲目的尝试,以查看您是否对这些脚本小子有什么“酷”可以修补。可以想象一下,有人在停车场周围走来走去,试图检查车门是否被解锁,请确保您的车门是打开的,并且很可能他会独自离开您的车门。
稀料
source
2
将攻击面减少为自动扫描的一种方法是在非标准端口上运行Web服务器。如果您只运行Web服务器供个人使用,则可以接受。但是,这对于保护针对特定系统的针对性攻击没有任何帮助。设置防火墙以使您的系统进入“隐身模式”(阻止任何对有害服务的访问)也是一个好主意。这包括阻断ICMP回应请求等等
每冯Zweigbergk
1

这些只是试图在服务器中发现漏洞的人们。几乎可以肯定,这是由功能有限的机器完成的。

只是人们在扫描某些IP范围-从phpMyAdmin中可以看到,它正在尝试找到安全性不高的PMA预安装版本。一旦找到一个,就可以访问该系统。

确保您的系统保持最新,并且您没有不需要的任何服务。

马丁·奥尔德森
source
此外,robots.txt文件也可能导致定向攻击。如果您有不希望别人看到的东西,请不要在robots.txt文件中做广告...使用ACL和经过身份验证的访问来保护它。
Red Tux
1

这些是扫描已知安全漏洞的机器人。他们只是扫描整个网络范围,因此会找到未发布的服务器,例如您的服务器。他们的表现不佳,也不在乎您的robots.txt。如果他们发现漏洞,他们会记录下来(您很快就会受到手动攻击),或者会自动使用rootkit或类似恶意软件感染您的计算机。您几乎无能为力,这只是互联网上的正常业务。这就是为什么始终为您的软件安装最新的安全修复程序很重要的原因。

英格玛·赫普(Ingmar Hupp)
source
1

正如其他人指出的那样,他们可能正在进行暴力扫描。如果您使用的是动态IP地址,则他们更有可能扫描您的地址。(以下建议假定使用Linux / UNIX,但大多数建议可应用于Windows Server。)

阻止它们的最简单方法是:

  • 防火墙端口80,仅允许有限范围的IP地址访问您的服务器。
  • 在您的apache配置中配置ACL,该配置仅允许某些地址访问您的服务器。(您可以对不同的内容使用不同的规则。)
  • 需要身份验证才能从Internet访问。
  • 更改服务器签名以排除构建。(增加的安全性并没有很多,但是使针对特定版本的攻击更加困难。
  • 安装诸如fail2ban之类的工具,以自动阻止其地址。正确设置匹配模式可能需要花费一些时间,但是如果您看不到400个系列错误的情况可能并不那么困难。

为了限制它们可能对您的系统造成的损害,请确保apache进程只能写入应该可以更改的目录和文件。在大多数情况下,服务器仅需要对其提供的内容进行读取访问。

比尔·索尔
source
0

互联网是公共空间,因此是公共IP。除了通过设置某种拒绝公众的方法(vpn,防火墙上的acl,directaccess等),您无法隐藏。这些连接很危险,因为最终有人会比您打补丁更快地利用您。在响应之前,我会考虑某种身份验证。

吉姆·B
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.