Algunos bot siguen publicando esto en mi servidor

Navega tus respuestas
0

Algunos bot siguen publicando cadenas como esta en mi servidor. ¿Qué significan y cuál es la mejor manera de prevenirlos?

  1. RaxfkI/IZARdmslPRT3qzmMmaAmJOQ1i3lJWx9f4jJBQ0fVChoXCF3hlRjvticMkgEQxR7RKxb8uWfcbQa9jRqW8JFfOAykAsg7Nkf6MdScjE0bgyo0757jvOKqamcMA/xicZs_/S26J7PFUu2H/TMrJxwhAoAyvoFYavKcqWRccoZKCKAStUxJ6V8nqaXfIc6PL9dVRxWqSPyEUL7Y212kGO9fET70YOJj0lw/hkHUuRzRBSn/LXRE8RJVSGW5HmsLVbrG9Rp_I/omjALqCtBMZ/spkWrRYRK2uOotRCNLNVdQz23ioYLUB3TIpZc6wCwz6HpZe7hhOzlikAZW22acDDAOicP7/i9jaHvvC5ine85J1D7QAd3Nuz6/ZsaQN4koSktdDoK8evUIvHCTpcCxnI/SaH6fmIhtuRaDsEK4K

  2. EaMIk9rLYLRC5UGCKDcSS2GcXmsKekjiO3OPn79AZ/g67w6ensoQufXWcCJaKFq_GEe7/k3qPwbWDyWd1wY/lgptLoFqn_7EE6vUg0WRX/e9DX3vvlZHB2_kkPDGPw2cIL2c8fbEScsQcePT1gNzcCwATzFUgK7SHN2rv01C6jW2qiLzoVPB53Fb9Go9HfAAKmgOj4NYhKSnK7eQW5_M5q9q_EjqO62pj7ohVofKlog7lvQ0h80uwtYjA0DDPbbkBFWFbik5ZULv_KgVhwnx9IUPVRyzXAi2W5KWExWH8u_Lm2wOaNJZHvXagCPIMO4ThHNfpT_5v9mtUfBQR14D1VRnbVHOIg

  3. Rq1ckN7PZJp1PEjQqFJJjzDLdlC666M1FPfhEGF6cqUER4lAw8aIkJKSUc4VgU1lzfx32AyKmQbbjbrmJCEpAVjfhyunmVj7Adh/uK4WEuiwLiQlNs0qWqjtEAJg4b7sAAuODrzS48FtO975UIUlsT85Wj9uzknsqH9M1k0WrCgg7ngkAlcJmlKryDzMtxdQ8RJR75wU77ADuD8tB1Op1Yby2V/Cb4fgH3KQTmU_qSXUNgH5BHXCY_MRSCwbGQVvzsgGwqbcjboZmtACFc850IgPg1Yx9yuLxJfsciGRTUy8B/6QSZjfRGC0ujFOMJ6OUVE2f/owbx6GJKp_ULiIPE42rFEdA6Y5jtoCLMxhT_qzYUaUOcv9WmMwYMkpC9oWHe8SYieEYQ

Tengo más de 2400 solicitudes como esta. Todos están publicados en la dirección IP de mi servidor, no en el nombre de dominio.

Mi servidor sigue lanzando un MethodNotAllowedHttpException que es capturado por mi controlador de errores, que es como sé que esto sigue sucediendo. No creo que esté causando ningún daño, pero si están consumiendo los recursos de mi servidor, me gustaría evitar eso.

    
pregunta mpen 28.10.2017 - 19:45
fuente

1 respuesta

1

Una forma posible de evitar las cargas y los ataques como lo describió y mucho más es instalar apache mod_security con OWASP ModSecurity CRS reglas.

También se pueden aplicar a ngnix, y lo más probable es que te proteja de:

  • Inyección SQL (SQLi)
  • Secuencias de comandos entre sitios (XSS)
  • inclusión de archivos locales (LFI)
  • Inclusión remota de archivos (RFI)
  • Ejecución remota de código (RCE)
  • PHP Código de inyección
  • Infracciones del protocolo HTTP
  • Fijación de sesión de Shellshock
  • Detección de escáner
  • Metadatos / Fugas de errores
  • Lista negra del proyecto Honey Pot
  • Bloqueo de país GeoIP

Si los servidores no se ejecutan en Apache, puede tenerlo como servidor inverso y proteger su aplicación web.

Una vez que haya habilitado y configurado mod_security, puede ir más allá e instalar y configurar fail2ban para prohibir la IP que intenta piratearlo de esta manera:

  1. Instale fail2ban según su sistema (yum install o apt install fail2ban...)
  2. Crear /etc/fail2ban/filter.d/modsec.conf

  3. Ponga lo siguiente en ese archivo: 

    # Fail2Ban configuration file
#
# Author: Florian Roth

[Definition]
failregex = \[.*?\]\s[\w-]*\s<HOST>\s
ignoreregex =

  4. Luego pon esto en /etc/fail2ban/jail.conf 

     #
 # HTTP servers
 #

 [modsec]
 enabled  = true 
 filter   = modsec
 action   = iptables-multiport[name=ModSec, port="http,https"]
 sendmail-buffered[name=ModSec, lines=5, [email protected]]
 logpath  = /var/log/apache2/modsec_audit.log
 bantime  = 172800
 maxretry = 3

 [apache]
 enabled  = true
 port        = http,https
 filter   = apache-auth
 logpath  = /var/log/apache*/*error.log
 maxretry = 6

Luego, asegúrate de que tu fail2ban y apache se reinicien.

Otra forma es comprar un dispositivo preconfigurado como sophos UTM con firewall de aplicaciones web, es una buena forma si posee un centro de datos con servidores, porque UTM descargará sus servidores web de esa tarea (para su información, en realidad también ejecuta la seguridad de mod, además de algunas características adicionales como inspección de paquetes, antivirus ...)

    
respondido por el Aleksandar Pavić 31.10.2017 - 17:16
fuente

Lea otras preguntas en las etiquetas

¿Qué es un esquema de explotación en este ataque XSS? [duplicar] ¿Qué tan vulnerable es ADB (Android Debugging Bridge) a través de wifi ahora que WPA2 está descifrado?