サーバーがエクスプロイトをスキャンしているユーザーに戻るための最も安全な応答
IISでASP.NETサーバーをホストしていますが、定期的にボットがサーバーをスキャンしてphpMyAdmin、mysqlなどの古いバージョンを検索しようとしているのを目にします。
現在、これらのリクエストはすべて404を返します。これは、/phpMyAdmin-2.5.1/index.phpが確かに存在しないため、これが正当な応答であるためです。
やるべきより良い何かがありますか?
私の最善の考えは、とにかくIISクライアントに通知せずにクライアント接続を完全に放棄するように指示することはありますか?基本的にサーバーが存在しないか、それらのアドレスに対して完全にオフラインであるように見えますか?
問題は、システムに脆弱性がある可能性があることです。スキャンは避けられません。
あなた自身のサイトをスキャンして、あなたがそのような低くぶら下がっている果物に免疫があることを確認してください。アプリケーション侵入テスターに支払いをして、より脅威的な攻撃から免れることを確認します。 mod_security のようなWebアプリケーションファイアウォールを使用して、攻撃がWebアプリケーションに到達する前にフィルタリングします。
非常に良い解決策はHackerBasherです。これはあなたが自分でできることです。単にIIS仮想ホストをIPアドレスとしてインストールします-ボットはhttp://192.168.1.1/を要求しているので、 http://www.example.com/ ではありません。ハッカーバッシャーソリューションは、次のことを実行できます。
- ブラックリストに追加することにより、IP番号がそれ以上アクセスできないようにブロックします
- 常に同じ403コードで応答する
理想的には、ModSecurityをインストールでき、そのルールが作成され、チェックされません。ヘッダーの数と、有効なHost:がない場合は、通常403応答もトリガーします。
ModSecurityは非常に推奨されるソリューションですが、一部の自作のハッカーバッシャーも多くのことを行います。たとえば、HPはクラウドサーバーで毎月スキャンを実行します。ハッカーバッシャーはFQDNを使用しないため、これらすべてを回避しました。
これは、ボットがサーバーからデータや指紋を収集するのを防ぎ、パッチを適用し忘れた場合に多くのボットがWebサーバーを突破するのを効果的に防ぐので非常に役立ちます。