¿Cómo identificar el programa Java que accede maliciosamente a mi sitio web desde muchas direcciones de clientes?

Navega tus respuestas
2

Durante muchos años, mi sitio web personal recibe numerosos pares de visitas que se ven así todos los días: 

202.xx.xx.xx - - [22/Apr/2013:12:02:26 +0000] "GET / HTTP/1.1" 200 5923 "-" "Java/1.4.1_04"
202.xx.xx.xx - - [22/Apr/2013:12:02:27 +0000] "GET / HTTP/1.1" 200 5923 "-" "Java/1.4.1_04"

Lo único que tienen en común las solicitudes es la consulta "GET / HTTP / 1.1", el agente de usuario de Java y el hecho de que vienen en pares. Los registros forenses no revelan ninguna otra característica distintiva. Las versiones de Java varían en todo el mapa, al igual que las direcciones IP de origen. Sospecho que alguien muy antisocial ha codificado una aplicación Java semi popular que hace pings en mi sitio de esta manera, solo para molestar.

No importa qué respuesta envíe (2xx, 3xx, 4xx, 5xx, respuestas con imágenes, respuestas con mil < div > s anidados, etc.) el comportamiento de los clientes es idéntico. Algunas de las direcciones IP de los clientes parecen ser servidores, mientras que otras son conexiones residenciales. Una campaña de correo electrónico que intentaba notificar / consultar a los titulares de las direcciones más identificables no generó pistas útiles sobre la identidad de la aplicación.

Este abuso no es exactamente una tensión en mis servidores, pero es molesto. ¿Cómo puedo identificar el programa Java que es responsable?

    
pregunta ruief 24.04.2013 - 16:02
fuente

4 respuestas

8

El "agente de usuario" es una cadena enviada por quien se conecta a su sistema: el individuo antisocial. Por lo tanto, no puedes realmente confiar en ello. Lo que significa que no puedes asumir que este cliente realmente usa Java. En realidad, si la versión de Java es "en todo el mapa", entonces esto es una indicación sólida de que el cliente no está no utilizando Java. Un verdadero cliente HTTP estándar basado en Java devolverá la versión del JDK empleado; 1.4.1_04 es muy antiguo y es posible que ya no funcione con un sistema operativo reciente.

Por lo tanto, mi opinión es que puede tachar la palabra clave "Java" en su búsqueda. Estas solicitudes son probablemente las obras de una botnet que intenta propagarse; las máquinas infectadas envían estas solicitudes HTTP para obtener información sobre servidores web aleatorios (por ejemplo, la versión de software del servidor), y se disfrazan como "solicitudes Java" para evitar algunos firewalls y filtros mal configurados.

Esto no se hace para molestar a usted . En realidad molesta a todos . Todos los servidores disponibles públicamente recibirán solicitudes como la suya; la replicación de botnets solo usa direcciones IP aleatorias, y no puedes evadir la aleatoriedad. También tengo algunos en mi propio servidor.

    
respondido por el Tom Leek 24.04.2013 - 16:48
fuente
1

Podrías intentar picarlos. Configure algún tipo de cuenta a la que pueda rastrear el acceso. Luego, deja que te roben alguna información falsa que les permita acceder. Cuando intenten acceder a él, tal vez no sean tan cuidadosos y se entreguen.

Por supuesto, simplemente suena como un típico ping transmitido. Así que probablemente no valga la pena.

    
respondido por el Chris Stephens 24.04.2013 - 21:48
fuente
0

¿Ha intentado enviar redirecciones 404, 503 o incluso 301 a esa IP cuando envía solicitudes? Me pregunto si enviar un redireccionamiento 301 durante un mes haría que Google fuera un error. Es inverosímil, pero podría valer la pena un tiro.

    
respondido por el dcn 24.04.2013 - 18:49
fuente
-2

Tengo información sobre esto que puede ayudar a la gente. Recientemente registré tres sitios web con "Web of Trust" (WOT), una empresa que tiene su sede en Helsinki, Finlandia. Ellos bajaron la calificación de mis sitios por una razón por la que mi nombre de dominio apareció como "registrante oculto". El tratamiento que recibí parece muy poco ético, pero dicen que es ético. No puedo conseguir que deshagan el daño. Mientras tanto, Norton SafeWeb no tuvo problemas para que mis sitios obtuvieran una buena calificación.

Pero manteniendo eso como una nota relacionada y llegando al punto, comencé a obtener las entradas de Java1.4.1_04 en mis registros poco después de registrar los nuevos sitios con WOT. Todos los accesos de malos actores provinieron de fuentes europeas, Noruega, Suecia, España, Inglaterra, etc. También busqué algunas direcciones IP en la búsqueda de IP:

whatismyipaddress

y encontré algunas cosas inquietantes, todas las cuales comenzaron a ocurrir después de registrar mis sitios web con web de confianza.

whatismyipaddress reportó estos sitios como reportados por los usuarios, cientos de veces, como "posibles spammers de foros".

Por mi horrible experiencia, parece que no se puede confiar en Web of Trust. Sin embargo, debes juzgar por ti mismo. Los moderadores de sus foros se basan en los EE. UU. Para manejar el idioma inglés y parecen ser inflexibles y poderosos.

Aquí hay enlaces para mostrar lo que hicieron en mis sitios:

enlace enlace

Solo puedo publicar 2 URL aquí; hay un tercer sitio que también fue mal calificado.

Aquí hay enlaces a Norton SafeWeb para los mismos sitios:

Lo sentimos, este sitio no me permite publicar los otros enlaces, ya que soy nuevo en el intercambio de la pila de seguridad. Pero puede consultar mis sitios, AVenuesPlus, CircaNova y VeteransAssembly en SafeWeb.

En el momento de esta publicación, SafeWeb aún no ha probado la circanova, pero debería estar bien cuando lo hagan.

En base a mis experiencias recientes con WOT y el tráfico de malos actores que mis sitios web han recibido luego de registrarme en WOT, le aconsejo extrema precaución, si considera registrarse para el servicio WOT, EXTREME PRECAUCIÓN.

WOT aparentemente se ha establecido como LEY al definir lo que es confiable en la red. Es tan atroz como me han tratado, que me he visto obligado a escribirle a la Senadora Barbara Boxer para que me ayude con respecto a este tema que requiere atención relacionada con la legislación de Telecom / Broadcast.

Cuidado .

Si obtiene sus problemas de Java1.4.1_04 después de registrarse con WOT, confírmelo en este sitio y en otros sitios relacionados con la seguridad, para que otros puedan recibir alertas y poder evitar riesgos.

------ Se agregaron ediciones adicionales 14/08/2013

Si es el propietario de un sitio y ha comenzado a ver estas cosas en sus registros, ingrese las direcciones IP en su archivo .htaccess

negar desde ipaddreass

Es probable que tengas una lista creciente de dichas directivas de denegación.

Verás más que solo Java1.4.1_04 También cosas como Java / 1.6.0_30 y otras.

Es fácil para mí ver estas entradas incorrectas en este momento porque mis sitios son nuevos con poco tráfico.

Después de registrarme en Web of Trust (WOT), también veo cosas como esta ...

/wp-login.php?action=register

Por supuesto, no hay tal archivo php en mis aplicaciones, pero estos payasos prueban lo que pueden haber roto en otro lugar, por ejemplo, un sitio de WordPress. Mi sitio NO es WordPress, wp-login?

Agregue también direcciones IP que hagan este tipo de cosas a .htaccess.

No muchas personas a las que WOT ha difamado sus sitios son conscientes de que la difamación es solo la parte visible del problema. La parte oculta de la actividad ciber-criminal myWOT solo se revela en sus registros y deben prestar atención a ellos.

Mi sitio fue difamado debido a un "registrante oculto". Ahora es obvio para mí que los delincuentes de WOT querían que mostrara mi correo electrónico y dirección de datos en whois, porque Dios sabe qué intención es la mala.

Nuevamente, SEA EXTREMADAMENTE PRELIMINAR sobre la posibilidad de registrar sus sitios en Web of Trust.

    
respondido por el Brian Donat 14.08.2013 - 05:37
fuente

Lea otras preguntas en las etiquetas

¿Cuál es una buena manera de prevenir los ataques de secuestro con captcha? ¿Cómo puedo proteger mi sitio de comercio electrónico de tarjetas de crédito robadas?