¿Conoces algún tarpits / blackholes HTTP para usar para redirigir el tráfico malicioso?

7

Así que limpié algunos scripts PHP maliciosos del sitio de un cliente y he estado monitoreando las conexiones de seguimiento a los scripts. Por supuesto, he encontrado un montón de direcciones IP solicitando los archivos. Demasiados para intentar y una lista negra y demasiados bloques de red diferentes para bloquear a un alto nivel.

Estoy pensando en redireccionar todas las solicitudes posteriores de los archivos a algún tipo de sistema de informes Blackhole / tarpit / honeypot / bad guy, pero no estoy seguro de que exista tal cosa para el tráfico HTTP.

Idealmente, podría redirigir estos IP a la policía de Internet y estarían sujetos a investigación y conversaciones severas, pero dudo que exista un sistema como ese debido a su potencial de abuso

    
pregunta Creek 23.01.2015 - 16:05
fuente

2 respuestas

11

Me temo que todas esas direcciones IP no son más que víctimas que hacen clic en los enlaces phishing / malware .

Su cliente fue pirateado y se alojaron scripts maliciosos en su servidor para infectar a víctimas poco visibles. Le guste o no, su cliente contribuyó a propagar malware.

El siguiente paso para usted es simplemente servir un 404 No encontrado en esas solicitudes y asegurarse de que su cliente no ayude a propagar nuevamente el malware. Si lo desea, puede configurar un 301 o un 302 que apunten a un sitio de aplicación de la ley o servir una página estática que le diga a sus visitantes que probablemente solo hicieron clic en un enlace de correo electrónico de phishing / malicioso.

Según su pregunta inicial, cualquier tarpit (por ejemplo, manteniendo las sesiones TCP abiertas) que configure en un servidor web solo ralentizará su servidor más que esos tipos. En serio, no tiene sentido hacer eso.

    
respondido por el Pedro Perez 23.01.2015 - 19:30
fuente
3

Probablemente sea la misma herramienta / malware y sí, también es una botnet automatizada. Una vez estuvo en la lista de hosts infectados, por lo que pudieron averiguar si la desconexión se debió a desinfección, bloqueo de WAF o proxies en el camino ...

Bueno, depende de tu estructura de red. Si controla el firewall frontal, si puede implementar un WAF, si tiene un proxy de caché como el barniz ... Incluso Apache mod_rewrite puede ayudarlo hasta cierto punto al redirigir siempre a una página de error 404. / p>

Pero realmente no conozco un servicio similar a la policía de Internet a quien pueda informar estos intentos de acceso. ¿Alguien aquí sabe algo como eso?

    
respondido por el DarkLighting 23.01.2015 - 18:13
fuente

Lea otras preguntas en las etiquetas