Geo*_*rge 13 security iis-6 asp.net web-server ids
我们的网站不断受到 IP 地址解析为中国的机器人的攻击,试图利用我们的系统。虽然他们的攻击被证明是不成功的,但他们不断消耗我们的服务器资源。攻击样本如下所示:
2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48834 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-beta1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48857 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:25 58.223.238.6 48886 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-pl2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48915 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0-rc1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:27 58.223.238.6 48997 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.0/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49023 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.1/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49044 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.2/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:28 58.223.238.6 49072 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.3/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49094 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:29 58.223.238.6 49122 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:30 58.223.238.6 49152 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.7.6/scripts/setup.php 400 - Hostname -
他们每天 24/7 无休止地攻击我们的服务器,每秒多次,寻找漏洞利用。IP 地址总是不同的,因此向防火墙添加针对这些攻击的规则只能作为它们再次启动之前的短期解决方案。
我正在寻找一种可靠的方法来在提供网站时识别这些攻击者。是否有一种编程方法可以在识别 IP 地址时向 IIS 添加规则,或者是否有更好的方法来阻止这些请求?
任何识别和阻止这些 IP 地址的想法或解决方案都将受到欢迎。谢谢!
med*_*ina 11
请不要将整个国家列入黑名单,甚至不要将大地址块列入黑名单。
考虑这些行动的影响。 即使阻止单个地址也可能阻止大量用户连接到您的站点。主机的合法所有者完全有可能不知道他们的盒子已经过0wned。
你确实显示了“24/7”的流量......但我会要求你评估你的资源消耗是否真的很重要(我从该日志片段中看到每秒最多点击 3 次)。
调查你的选择。确保您的服务器确实得到强化,进行您自己的漏洞评估并审查您的站点代码。查看每个源的速率限制器、Web 应用程序防火墙等。保护您的站点,保护您的资源,并做对您的业务需求有意义的事情。
我说这是作为一个人的服务曾经经常被中国防火墙阻止的人。如果您的网站最终足够好,也许他们甚至会阻止他们的用户访问您!
我封锁了整个国家。中国人只从我的 3000 多个网站上购买了一个项目,但他们曾经占我带宽的 18%。在这 18% 中,大约 60% 是机器人在寻找要利用的脚本。
您还可以设置一个简单的 htaccess 规则,以便在他们每次查找以 phpmyadmin 开头的任何内容时将它们重定向到中文版的 FBI。
| 归档时间: |
|
| 查看次数: |
5314 次 |
| 最近记录: |