Wie finden diese "schlechten Bots" meinen geschlossenen Webserver?

Ich habe Apache vor einiger Zeit installiert, und ein kurzer Blick auf mein access.log zeigt, dass alle Arten von unbekannten IPs eine Verbindung herstellen, meist mit den Statuscodes 403, 404, 400, 408. Ich habe keine Ahnung, wie sie gefunden werden meine IP, weil ich sie nur für den persönlichen Gebrauch benutze und eine robots.txt hinzugefügt habe, in der Hoffnung, dass sie Suchmaschinen fernhält. Ich blockiere Indizes und es gibt nichts wirklich Wichtiges.

Wie finden diese Bots (oder Personen) den Server? Ist das üblich? Sind diese Verbindungen gefährlich / was kann ich dagegen tun?

Außerdem stammen viele IPs aus allen möglichen Ländern und lösen keinen Hostnamen auf.

Hier sind einige Beispiele dafür, was durchkommt:

In einem großen Schritt versuchte dieser Bot, phpmyadmin zu finden:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

Ich bekomme viele davon:

"HEAD / HTTP/1.0" 403 - "-" "-"

viele "proxyheader.php", ich bekomme ziemlich viele Anfragen mit http: // Links im GET

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"VERBINDEN"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"soapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

und dieser wirklich skizzenhafte Hex-Mist ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

leeren

"-" 408 - "-" "-"

Das ist nur der Kern davon. Ich bekomme alle Arten von Müll, sogar mit Win95-Benutzeragenten.

Vielen Dank.

Willkommen im Internet :)

• Wie sie Sie gefunden haben: Die Chancen stehen gut, Brute-Force-IP-Scannen. Genau wie ihr ständiger Strom von Schwachstellen-Scans auf Ihrem Host, sobald sie ihn gefunden haben.
• So verhindern Sie dies in Zukunft: Obwohl dies nicht vollständig vermeidbar ist, können Sie Sicherheitstools wie Fail2Ban auf Apache oder Ratenbeschränkungen - oder manuelles Sperren - oder das Einrichten von ACLs sperren
• Es ist sehr üblich , das auf jede außen zugänglichen Hardware dass reagiert auf gemeinsame Ports zu sehen
• Es ist nur gefährlich, wenn Sie nicht gepatchte Softwareversionen auf dem Host haben, die möglicherweise anfällig sind. Dies sind nur blinde Versuche zu sehen, ob Sie etwas "Cooles" für diese Skriptkinder haben, an dem Sie basteln können. Stellen Sie sich das als jemanden vor, der auf dem Parkplatz herumläuft und versucht, Autotüren zu öffnen, um festzustellen, ob sie unverschlossen sind. Stellen Sie sicher, dass es Ihre ist und dass er Ihre wahrscheinlich in Ruhe lässt.

Dies sind nur Leute, die versuchen, Schwachstellen in Servern zu finden. Mit ziemlicher Sicherheit von komprimierten Maschinen erledigt.

Es werden nur Leute sein, die bestimmte IP-Bereiche scannen - Sie können dem phpMyAdmin entnehmen, dass versucht wird, eine schlecht gesicherte Vorinstallationsversion von PMA zu finden. Sobald es eines gefunden hat, kann es einen überraschenden Zugriff auf das System erhalten.

Stellen Sie sicher, dass Ihr System auf dem neuesten Stand ist und Sie keine Dienste haben, die nicht benötigt werden.

Hierbei handelt es sich um Roboter, die nach bekannten Sicherheits-Exploits suchen. Sie scannen einfach ganze Netzwerkbereiche und finden daher unangekündigte Server wie Ihren. Sie spielen nicht gut und kümmern sich nicht um Ihre robots.txt. Wenn sie eine Sicherheitsanfälligkeit finden, protokollieren sie diese entweder (und Sie können in Kürze mit einem manuellen Angriff rechnen) oder infizieren Ihren Computer automatisch mit einem Rootkit oder einer ähnlichen Malware. Es gibt sehr wenig, was Sie dagegen tun können, und es ist nur ein normales Geschäft im Internet. Sie sind der Grund, warum es wichtig ist, immer die neuesten Sicherheitskorrekturen für Ihre Software zu installieren.

Wie andere angemerkt haben, führen sie wahrscheinlich Brute-Force-Scans durch. Wenn Sie sich in einer dynamischen IP-Adresse befinden, wird Ihre Adresse möglicherweise eher gescannt. (Der folgende Hinweis setzt Linux / UNIX voraus, die meisten können jedoch auf Windows-Server angewendet werden.)

Die einfachsten Möglichkeiten, sie zu blockieren, sind:

• Firewall-Port 80 und erlauben nur einem begrenzten Bereich von IP-Adressen den Zugriff auf Ihren Server.
• Konfigurieren Sie ACLs in Ihrer Apache-Konfiguration, die nur bestimmten Adressen den Zugriff auf Ihren Server ermöglicht. (Sie können unterschiedliche Regeln für unterschiedliche Inhalte festlegen.)
• Authentifizierung für den Zugriff aus dem Internet erforderlich.
• Ändern Sie die Serversignatur, um Ihren Build auszuschließen. (Nicht viel mehr Sicherheit, macht aber versionenspezifische Angriffe etwas schwieriger.
• Installieren Sie ein Tool wie fail2ban, um deren Adresse automatisch zu blockieren. Das richtige Muster zu finden, kann ein wenig Arbeit kosten, aber wenn 400 Serienfehler für Ihr Sehvermögen ungewöhnlich sind, ist dies möglicherweise nicht so schwierig.

Um den Schaden zu begrenzen, den sie Ihrem System zufügen können, stellen Sie sicher, dass der Apache-Prozess nur in Verzeichnisse und Dateien schreiben kann, die er ändern kann. In den meisten Fällen benötigt der Server nur Lesezugriff auf den Inhalt, den er bereitstellt.

Das Internet ist öffentlicher Raum, daher der Begriff öffentliche IP. Sie können sich nur verstecken, indem Sie eine Möglichkeit festlegen, die Öffentlichkeit zu verweigern (VPN, ACL auf einer Firewall, Direktzugriff usw.). Diese Verbindungen sind gefährlich, da Sie irgendwann von jemandem schneller ausgenutzt werden als vom Patchen. Ich würde eine Art Authentifizierung in Betracht ziehen, bevor ich antworte.