La risposta più sicura per un server per tornare a un utente che esegue la scansione degli exploit

5

Ho server ASP.NET ospitati in IIS, regolarmente vedo bot che tentano di eseguire la scansione del mio server alla ricerca di versioni obsolete di phpMyAdmin, mysql ecc.

Attualmente queste richieste restituiscono tutte 404 perché questa è la risposta legittima in quanto /phpMyAdmin-2.5.1/index.php non esiste certamente.

C'è qualcosa di meglio da fare?

I miei migliori pensieri, c'è comunque da dire a IIS di abbandonare completamente una connessione client senza informare il client, quindi in pratica sembra che il server non esista o sia completamente offline per quegli indirizzi?

    
posta Chris Marisic 23.08.2012 - 23:13
fonte

2 risposte

5

Il problema è che potresti avere delle vulnerabilità nel tuo sistema. Le scansioni sono inevitabili.

Esegui la scansione del tuo sito e assicurati di essere immune a un frutto a sospensione così basso. Paga un tester di penetrazione delle applicazioni per assicurarti di essere immune da attacchi più minacciosi. Utilizza un firewall per applicazioni web come mod_security per filtrare gli attacchi prima che colpiscano la tua applicazione web.

    
risposta data 24.08.2012 - 01:57
fonte
0

Ottima soluzione è Hacker Basher. Questo è qualcosa che puoi fare da solo. Semplicemente su IIS installa virtualhost come indirizzo IP - perché i bot richiedono http://192.168.1.1/ e non link , quindi una tale soluzione hacker basher può fare seguenti:

  • blocca il numero ip da un ulteriore accesso aggiungendolo alla blacklist
  • risposta sempre con lo stesso codice 403

Idealmente, è possibile installare ModSecurity, e le sue regole sono fatte in modo che controlli no. delle intestazioni e se non esiste un Host valido, di solito attiva anche la risposta 403.

ModSecurity è una soluzione altamente raccomandata ma alcuni hacker self-made farebbero anche molto. Ad esempio, HP esegue una scansione mensile sui propri server cloud, con hacker basher ho evitato tutto questo, poiché non usano FQDN.

Questo è molto utile perché impedisce ai robot di raccogliere dati e impronte digitali dai tuoi server e impedisce efficacemente a molti robot di rompere attraverso il server web, se hai dimenticato di applicarlo.

    
risposta data 23.08.2012 - 23:46
fonte

Leggi altre domande sui tag