Conoscenza di eventuali tarpits / blackholes HTTP da utilizzare per reindirizzare il traffico dannoso?

7

Quindi ho ripulito alcuni script PHP dannosi dal sito di un cliente e ho monitorato le connessioni successive agli script. Certo, ho trovato un sacco di IP che richiedono i file. Troppi da provare e lista nera e troppi diversi netblock da bloccare ad alto livello.

Sto pensando di reindirizzare tutte le richieste successive dei file a qualche tipo di sistema di segnalazione blackhole / tarpit / honeypot / bad guy, ma non sono sicuro che esista una cosa del genere per il traffico HTTP.

Idealmente, potrei reindirizzare questi IP alla polizia di Internet e sarebbero soggetti a indagini e a parlare a poppa, ma dubito che un sistema del genere esista a causa del suo potenziale di abuso

    
posta Creek 23.01.2015 - 16:05
fonte

2 risposte

11

Ho paura che tutti questi IP non siano altro che vittime cliccando sui link phishing / malicious .

Il client è stato violato e gli script dannosi sono stati ospitati sul loro server al fine di infettare vittime poco appariscenti. Che ti piaccia o no, il tuo cliente ha contribuito a diffondere malware.

Il prossimo passo per te è quello di servire un 404 non trovato su quelle richieste e assicurarti che il tuo cliente non aiuti a diffondere nuovamente il malware. Se ti piace, puoi semplicemente impostare un 301 o un 302 che puntano a un sito delle forze dell'ordine o pubblicare una pagina statica che dice ai tuoi visitatori che probabilmente hanno appena fatto clic su un link di phishing / email malevolo.

Come da domanda iniziale, qualsiasi tarpit (ad esempio mantenendo aperte le sessioni TCP) che si imposta su un server web rallenta il server solo più di quei ragazzi. Seriamente, non ha senso farlo.

    
risposta data 23.01.2015 - 19:30
fonte
3

Probabilmente è lo stesso strumento / malware e sì, probabilmente è anche una botnet automatizzata. Una volta eri presente nell'elenco degli host infetti, in modo che potessero verificare se la disconnessione era dovuta a disinfezione, blocco WAF o proxy lungo il percorso ...

Bene, dipende dalla struttura della tua rete. Se controlli il firewall frontale, se sei in grado di distribuire un WAF, se hai un proxy di cache come vernice ... Persino il mod_rewrite di Apache potrebbe essere in grado di aiutare in una certa misura reindirizzando sempre a una pagina di errore 404. / p>

Ma in realtà non conosco un servizio di polizia su Internet a cui potresti segnalare questi tentativi di accesso. Qualcuno qui sa qualcosa del genere?

    
risposta data 23.01.2015 - 18:13
fonte

Leggi altre domande sui tag