Defensa apropiada para 404s en mis registros: escaneos web persistentes de una región

7

Esto parece ser una pregunta bastante fácil de resolver, pero quería asegurarme. Tengo alrededor de mil entradas en uno de mis servidores web con phpmyadmin en el criterio de conexión, pero como no tengo phpmyadmin instalado, siempre es 404s. Se originan en varios países del antiguo bloque soviético, lo que me preocupa.

¿Debo suponer que son exploraciones de exploits? Además, ¿hay medidas preventivas adicionales que pueda implementar en el sistema para bloquear estas solicitudes (como una regla selectiva de iptables o algo así)?

Información del servidor:
Ubuntu 10.10 Linux, 32bit.
Servidor web: NGINX

    
pregunta Thomas Ward 14.07.2011 - 19:28
fuente

3 respuestas

10

Esto es bastante bien el ruido de fondo de Internet. Dado que phpMyAdmin tenía un historial de seguridad tan pobre, no es raro ver sistemas que buscan instancias de que se ejecuten en la red. Lo más probable es que eso es exactamente lo que está sucediendo. Hay algunas cosas que podría hacer para tomar acción en una actividad de este tipo, aunque una o las que elija dependerán enormemente de cómo se utilice su sitio.

Bloquea completamente
Dependiendo de quién necesite acceder a su sitio web, puede insertar reglas de firewall para permitir solo el acceso desde direcciones específicas o rangos de direcciones. Por ejemplo:

-A INPUT  -s 198.51.100.50-m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT  -s 203.0.113.0/24 -m tcp -p tcp --dport 80 -j ACCEPT

Esto permitirá específicamente la dirección del host 198.51.100.50 y la red 203.0.113.0/24. En este caso, el beneficio es limitar el alcance de su acceso a un conjunto relativamente pequeño, sin embargo, debe saber dónde se requiere el acceso.

Conexiones de límite de velocidad
IPtables ha incorporado soporte para limitación de velocidad. Como ejemplo, tome estas reglas de firewall:

-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --set --name WEB
-A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name WEB -j DROP

Lo que esto hará es limitar cada dirección de origen a solo 8 conexiones en 60 segundos. Es posible que estos valores deban ser ajustados, dependiendo de su entorno, pero sin duda ralentizarán cualquier tipo de fuerza bruta o exploración rápida.

Detección dinámica y bloqueo
Existen varias aplicaciones para hacer esto, pero básicamente todas funcionan de la misma manera:

  1. Lee archivos de registro específicos para eventos procesables
  2. Comparar eventos contra algún tipo de sistema de puntuación
  3. Actúa si cumple con los criterios

Uno de los más populares (alerta de subjetividad) es probablemente una aplicación llamada fail2ban . Procesará una gran variedad de registros en su sistema, incluidos SSH y Apache, y emitirá bloques para aquellas direcciones de origen que cometan un comportamiento "sospechoso". Por lo general, esto sería agregar una regla de caída de IP de origen en el servidor de seguridad del host. Usted menciona que está utilizando Nginx como su servidor web, por lo que tendría que investigar si fail2ban, o qué otro producto, funcionaría para usted.

    
respondido por el Scott Pack 14.07.2011 - 19:50
fuente
7

Sí, esos son solo scripts de escaneo, en busca de versiones vulnerables de phpmyadmin y otro software para explotar.

Hay varias formas de combatir estos problemas.

Uno de ellos es a través de utilidades como fail2ban, que (entre otras cosas) puede monitorear los registros del servidor web y prohibir las IP en el firewall que coincida con sus criterios.

En tu caso específico, mira esta publicación (aunque debes convertirla para nginx)

También puedes ir al revés, y filtrar automáticamente los ips malos que se ven en la naturaleza y categorizados como bots, también existen herramientas para eso.

    
respondido por el john 14.07.2011 - 19:40
fuente
3

Bueno, ante todo, parece que serían de países del bloque soviético. Segundo, podría ser un escáner de vulnerabilidad, pero si no tiene el software, ¿qué importa? Le gustaría incluir en la lista blanca las direcciones IP + MAC (donde estática) que están involucradas con sus operaciones de red. ¿Qué tan separadas están las solicitudes, estamos hablando de 20 solicitudes en una semana o 4000 en un minuto? Podría considerar la configuración de un IDS para ver al menos todo lo que se le presente, o un paso más implementar un IPS y monitorear esos registros activamente. Si el cuadro que se está escaneando es crítico, también sugeriría desconectarlo un poco para que se ejecute un análisis en él para ver si algo más no pertenece a él.     

respondido por el Woot4Moo 14.07.2011 - 19:39
fuente

Lea otras preguntas en las etiquetas