24時間年中無休でシステムを悪用しようとする中国のハッカーボット

国全体をブロックします。中国人は私のサイトの3000以上から1つのアイテムのみを購入しましたが、それでも私の帯域幅の18％を占めていました。その18％のうち、約60％は、悪用するスクリプトを探しているボットでした。

• 更新-何年も経った後、私は中国のブロックをオフにしました。 Baiduからのいくつかの重要な条件で、ボット以外の実際のトラフィックが殺到しました。 1週間で約40万件のヒットがあった後、簡体字中国語で特別なページを作成して初めて1回の販売を行いました。帯域幅の価値はありません。私はそれらをブロックすることに戻ります。

また、単純なhtaccessルールを設定して、大文字と小文字を区別せずにphpmyadminで始まるものを探すたびに中国語版のFBIにリダイレクトすることもできます。

侵入検知システムである snort を調べてみてください（複数のURLをリンクすることはできないため、ウィキペディアで検索してください）。ファイアウォールにすでに何かがあるか確認してください。 IDSは着信トラフィックをスキャンします。IDSがエクスプロイトを見つけた場合、それがファイアウォールでブロックされる可能性があることを認識しています。

それを除けば、あなたが実際にできることは多くありません。単一のIPアドレスからの攻撃が多数見られない限り、IPアドレスが悪用されることはほとんどありません。他の唯一の提案は、サーバーを最新の状態に保ち、使用するサードパーティのスクリプトを最新の状態に保ち、これらの攻撃のいずれかの犠牲にならないようにすることです。

apnic レジストリ iana によると、IPアドレス58.223.238.6はChina Telecomに割り当てられたブロックの一部であり、ブロック全体は58.208.0.0-58.223です。 .255.255。どのようにアプローチしたいか正確にはわかりません。それが私なら、ルールのアドレス範囲全体をブロックして、それで終わります。しかし、それはあなたが快適にするには焦土作戦では多すぎるかもしれません。

私はWeb管理者ではないので、これを一目で理解してください。ただし、一連のIP範囲（中国）からのアクセスを監視するものを作成し、それを指すアクティビティがある場合はブートを提供できる可能性があります。搾取の試み。

HTH

良いハードウェアソリューションを検討するときかもしれません。 IPSモジュールを備えたCisco ASAは、あなたが手に入れようとしているのとほぼ同じくらい堅実です。

http://www.Cisco.com/en/US/products/ps6825/index.html

McAfeeエンタープライズハードウェアアプライアンス（以前のSecure Computing Sidewinderシリーズの買収）には、特定の国や地域にフィルターを適用できる地理位置情報機能があります。中国からの正当なトラフィックがたくさんある場合でも、バランスを正しく取るのは難しいかもしれません。

IIS-hdgreetings dot comのIISIPと呼ばれる優れたプログラムがあり、カスタムテキストファイルを使用してIPまたは範囲でサーバーブロックリストを更新するか、中国または韓国を完全にブロックします。 Okean dotcomからリストを更新します。

これを停止するロジックの一部は、ブロックされているだけの場合、サーバーリソースを消費してブロックし、試行を続けることです。それらがループにリダイレクトされる場合、代わりにサーバーを消費します。同様に、検閲された資料に向けられた場合、それらは独自のシステムによって検閲され、場合によっては返却が妨げられます。

ハッカーボットがphpmyadminなどを試行している問題の場合、私の解決策はログファイルを読み取り、wwwroot内のすべてのフォルダーを探し、探しているphpファイル名をそれぞれに配置することでした。各phpファイルには、他の場所へのリダイレクトが含まれているだけです。つまり、ユーザーがアクセスすると、他の場所にリダイレクトされます。私のウェブはすべてホストヘッダーを使用しているので、それらにはまったく影響しません。グーグルルックアップは、リダイレクトのための非常に単純なphpスクリプトを書く方法に関する情報を提供します。私の場合、それらをハニーポットプロジェクトに送信するか、収穫時に無限の迷惑メールを生成するスクリプトに送信します。もう1つの方法は、ユーザーを自分のIPまたはユーザーが検閲するものにリダイレクトすることです。

IIS=を使用する中国のftp辞書ハッカーボットの場合、失敗した試行で攻撃者のIPを禁止リストに自動的に追加するbanftpipsと呼ばれる素晴らしいスクリプトがあります。動作するのは少し難しいですが、機能しますスクリプトが配列ではなく1つの名前しか受け入れないように見えるため、最初に試した名前を使用してスクリプトの複数のコピーを使用するのが最善の方法です。例：管理者、管理者、アビーなど。グーグルでも。

これらのソリューションはIIS5Win2Kで動作し、おそらく新しいIISでも動作します。

Config Server Firewall（CSF）をインストールし、ハンマーをブロックするようにセキュリティを設定します。

すべてのサーバーで実行します。

まず第一に、すべてが最新であることを確認します。 （!!!）phpmyadmin（!!!）などのサービスを非表示にする。また、これらのIPアドレスに対して whois を実行し、このアクティビティを不正使用の電子メールアドレスに報告することもお勧めです。しかし、おそらくそれは中国政府なので、彼らに笑いものを与えるだけです。 ここ はFBIへの問題の報告に関する情報です。

実際には、問題を自分の手に委ねる必要があります。サーバーが脆弱性を見つける前に、脆弱性をテストする必要があります。

Webアプリケーションテスト：

1. NTOSpier（$$$）-非常に優れており、これはおそらく彼らが持っているよりも優れたテクノロジーです。
2. Acunetix（$）-良いですが、素晴らしいとは言えません。それは問題を見つけるでしょう。
3. Wapitiとw3af（オープンソース）、両方を実行する必要があります。利用可能なすべてのw3af攻撃モジュールを実行する必要があります。 acuentixまたはntospiderを使用する場合でも、w3afを実行する必要がありますが、さらに多くの問題が見つかる可能性があります。

ネットワークサービステスト：

1. すべてのプラグインで OpenVAS を実行します。

2. フルTCP/UDPスキャンで [〜＃〜] nmap [〜＃〜] を実行します。不要なものすべてをファイアウォールで保護します。

問題を解決できない場合は、専門家に相談してください。

中国での虐待の連絡先を知らせることは不可能です。

多くの場合、これらの悪用メールアドレスは存在しません。

私はすべての中国のIPアドレスをブロックしているか、少なくともそれらをゲートしてアクセスを最小限に制限しています。

「国全体、または大きなアドレスブロックをブラックリストに登録しないでください。これらのアクションの影響を考慮してください。単一のアドレスをブロックしても、かなりの数のユーザーのサイトへの接続がブロックされる可能性があります。ホストの正当な所有者は完全に可能です。彼らの箱が所有されていることを知らない。」

国全体をブロックするのが賢明かどうかは、ウェブサイトの種類と対象読者に完全に依存していると思います。確かに、上海のホストの正当な所有者は、彼のコンピューターがあなたの会社に属するWebサイトを調査していることを知らないかもしれません。しかし、あなたの会社が地元の聴衆を持っていると思いますか、またはWebサイトが従業員のためのOutlook Web Accessポータルであると思います-それは上海のユーザーのWebサイトをブロックする問題ですか？

もちろん、ネットの中立性は良いことですが、必ずしもすべてのWebサイトが世界中のユーザーにサービスを提供する必要はありません。また、正当なWebサイト訪問者を提供していない国からのアクセスをブロックすることで問題を防ぐことができるのであれば、そうしませんか？