刚刚从我的 DNS 服务器日志中注意到,显示有人通过端口 80 攻击我的服务器:
/var/log/bind.log:31-Jul-2020 03:25:50.536 query-errors: client @0x7f63345948a0 185.107.80.2#36045 (PEACECORPS.GOV): view internet: query failed (REFUSED) for PEACECORPS.GOV/IN/ANY at /bin/named/query.c:7145
/var/log/bind.log:31-Jul-2020 05:31:41.446 query-errors: client @0x7f63347273e0 144.217.34.151#53799 (sl): view internet: query failed (REFUSED) for sl/IN/ANY at /bin/named/query.c:7145
/var/log/bind.log:31-Jul-2020 11:28:20.928 query-errors: client @0x7f63345948a0 2.57.122.193#45066 (.): view internet: query failed (REFUSED) for ./IN/ANY at /bin/named/query.c:7145
/var/log/bind.log:31-Jul-2020 14:21:50.516 query-errors: client @0x7f63345638a0 193.9.17.2#59905 (wzb.eu): view internet: query failed (REFUSED) for wzb.eu/IN/ANY at /bin/named/query.c:7145
/var/log/bind.log:01-Aug-2020 07:51:58.756 query-errors: client @0x7f6334718db0 89.248.168.17#37241 (cpsc.gov): view internet: query failed …我们在数据中心托管了一台 Windows 2012 R2 服务器,我们使用 RDP 进行管理。已启用自动更新。
管理员帐户不允许 RDP 登录,并且有多个用户帐户启用了 RDP。
我最近在日志中发现,正在进行暴力攻击,目标是服务器上实际存在的帐户之一。仔细查看日志,我发现最近至少有 3 个帐户被锁定。这不可能是巧合,因为帐户名称很复杂。
我现在已经限制了与我公司 IP 的连接,问题解决了(我知道以前应该这样做,但我们有理由不这样做)。
但是,我仍然想知道攻击者是如何获得帐户名称的。它是 RDP 的已知安全漏洞吗?
编辑:有一些元素我没有提到:这个服务器是一个虚拟机,这个虚拟机和虚拟机管理程序(Windows 2012 R2 也是)都在路由器后面,共享相同的公共 IP。RDP 使用一个非默认的公共端口进行 NAT,这是唯一的 NAT 端口。这台机器托管一个 HTTP 服务器 (kestrel),只能通过安装在另一台机器上的反向代理 (nginx) 访问。
rdp remote-desktop brute-force-attacks attacks windows-server-2012
我们正在遭受严重的icmp洪水攻击。Tcpdump 显示了下面的结果。尽管我们已经使用 iptables tcpdump 阻止了 ICMP,但仍然会打印 icmp 数据包。我还附上了 iptables 配置和“顶级”结果。有什么办法可以完全阻止 icmp 数据包吗?
[root@server downloads]# tcpdump icmp -v -n -nn
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
03:02:47.810957 IP (tos 0x0, ttl 49, id 16007, offset 0, flags [none], proto: ICMP (1), length: 56) 80.227.64.183 > 77.92.136.196: ICMP redirect 94.201.175.188 to host 80.227.64.129, length 36
IP (tos 0x0, ttl 124, id 31864, offset 0, flags [none], proto: ICMP (1), length: 76) 77.92.136.196 > 94.201.175.188: [|icmp]
03:02:47.811559 IP …所以基本上我的网站无法访问,我去日志文件夹查看出了什么问题,并注意到来自各种 IP 的很多奇怪的请求:
155.4.117.13 - - [30/Mar/2020:20:23:45 +0300] "GET / HTTP/1.0" 200 6189 "-" "Google Bot"
185.220.100.252 - - [30/Mar/2020:20:23:45 +0300] "GET / HTTP/1.0" 200 6189 "-" "Google Bot"
155.4.117.13 - - [30/Mar/2020:20:23:45 +0300] "GET / HTTP/1.0" 200 6189 "-" "Google Bot"
185.220.100.252 - - [30/Mar/2020:20:23:45 +0300] "GET / HTTP/1.0" 200 6189 "-" "Google Bot"
155.4.117.13 - - [30/Mar/2020:20:23:45 +0300] "GET / HTTP/1.0" 200 6189 "-" "Google Bot"
155.4.117.13 - - [30/Mar/2020:20:23:45 +0300] "GET / HTTP/1.0" 200 6189 "-" "Google …其他人在.maTLD 中注册了一个指向我的网络服务器 IP 地址的名称。
我的域名 foo.bar -> 我的 ip 地址 1.2.3.4
有人定义:
可疑域.ma -> 我的 IP 地址 1.2.3.4
所以这看起来与典型的 DNS 欺骗相反。
问题:
这是在为其他攻击做准备吗?例如,人们登录到可疑域名.ma 网站,然后可疑域名.ma 会在一段时间后更改 IP 地址并将流量重定向到用于窃取凭据的“中间人”服务器?
防止这种情况的最佳方法是什么?
我正在考虑在Host:标头上阻止 HTTP 请求(即拒绝所有没有Host: foo.bar设置标头的 http 请求)。这会有效吗,也就是说,攻击者没有合理的方法可以滥用它吗?(那个标题是由浏览器设置的吗?)
在页面中嵌入 javascript 代码以防止这种情况不一定有效,因为攻击者毕竟可以在将 DNS 切换到“中间人”服务器地址时删除此代码。
我的邮件服务器在阻止一些试图 telnet 到我们邮件服务器的攻击者时遇到问题。但我无法阻止它,即使我们通过 ip 阻止,ip 也会不断变化。似乎他正在尝试从 smtp 事务中 telnet 而不是正常的。他们无法进入我们的电子邮件服务器,但这是每秒一次的交易。有没有办法阻止它/阻止它?以下是错误信息:
81.198.214.48 [0968] 16:14:01 Connected, local IP=xx.xx.xx.xx:25
81.198.214.48 [0968] 16:14:01 >>> 220 mymailserver.com ESMTP IceWarp 11.0.1.2; Fri, 13 Feb 2015 16:14:01 +0800
81.198.214.48 [0968] 16:14:02 <<< EHLO ylmf-pc
81.198.214.48 [0968] 16:14:02 >>> 250-mymailserver.com Hello ylmf-pc [81.198.214.48], pleased to meet you.
81.198.214.48 [0968] 16:14:03 <<< AUTH LOGIN
81.198.214.48 [0968] 16:14:03 >>> 334 VXNlcx5hbWU6
81.198.214.48 [0968] 16:14:04 <<< aGFua3M=
81.198.214.48 [0968] 16:14:04 >>> 334 UGFzcxdvcmQ6
81.198.214.48 [0968] 16:14:04 <<< ODg4ODg4
81.198.214.48 [0968] 16:14:24 …所以我有一个 WordPress 网站,我们都知道 WordPress 插件会随着时间的推移变得多么脆弱。我很想知道你们是怎么想的,可能只是 IP 禁止任何获得 HTTP 404 的人。显然我必须确保该站点不会向无效链接和所有请求提交任何请求,但我认为它会一种威慑攻击者的好方法。
我的意思是,如果有人访问该站点并单击该站点上的链接,他们就没有理由得到 HTTP 404。如果有人得到 HTTP 404,他们很可能会一事无成。
话虽如此,有没有一种简单的方法来实现这一目标?
我的网站用户发现有时服务器性能不像以前那样(基本上他们说通常立即加载的页面现在可能需要 3 秒以上)。这会发生 15-30 分钟,然后服务器再次响应。
今天,就在发生这种情况时,一位用户警告了我。我有时间以 root 身份运行几个命令,这就是我发现的:
root@[redacted]:~# netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
22 185.25.18.43
4 79.153.178.230
3 83.45.74.248
2 83.59.9.137
1 77.89.254.178
1 77.89.252.156
1 77.89.252.149
1 209.85.160.41
root@[redacted]:~# netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
root@[redacted]@~# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
1 142.166.98.36
1 180.76.5.194
1 79.151.200.177 …我的服务器每天都会受到来自数千个 IP 地址的攻击。我有个主意。我可以举报那些恶意IP地址,或者利用这些资源赚钱吗?如何?
您可能认为这些攻击在 Internet 上很常见。但是对我的服务器的攻击有点特殊。它们每天来自数千个不同的 ip。他们尝试登录我的盒子(但失败)。最不常见的事情是每个 ip 只是做了几次尝试,然后其他 ip 继续。如果这样继续下去,我想我可以在世界上捕获相当多的受感染计算机。
不要将您的想法限制在将这些 ip 报告给某个地方。这绝对是一个很好的资源,可以以我还不知道的方式赚钱。
否决票使我无法在这里提出新问题。各位访问者能否对这个问题进行投票以帮助我摆脱限制?我诅咒那些失望的选民。
谢谢!