Come identificare il programma Java che accede maliziosamente al mio sito web da molti indirizzi di clienti?

Question

Come identificare il programma Java che accede maliziosamente al mio sito web da molti indirizzi di clienti?

#1 da (8 voti)
#2 da (1 voti)
#3 da (0 voti)
#4 da (-2 voti)

2

Per molti anni, il mio sito web personale riceve numerose coppie di successi che assomigliano a questo, ogni giorno:

202.xx.xx.xx - - [22/Apr/2013:12:02:26 +0000] "GET / HTTP/1.1" 200 5923 "-" "Java/1.4.1_04"
202.xx.xx.xx - - [22/Apr/2013:12:02:27 +0000] "GET / HTTP/1.1" 200 5923 "-" "Java/1.4.1_04"

L'unica cosa che le richieste hanno in comune è la query "GET / HTTP / 1.1", l'agente utente Java e il fatto che vengano in coppia. I registri forensi non rivelano altre qualità distintive. Le versioni Java variano su tutta la mappa, così come gli indirizzi IP di origine. Sospetto che qualcuno molto antisociale abbia codificato un'app Java semi-popolare che ping il mio sito in questo modo, solo per infastidire.

Indipendentemente dalla risposta che invio (2xx, 3xx, 4xx, 5xx, risposte con immagini, risposte con un migliaio di < div > s, ecc.) il comportamento dei client è identico. Alcuni IP del client sembrano essere server, mentre altri sono collegamenti residenziali. Una campagna email che tentava di notificare / interrogare i titolari degli indirizzi più identificabili non ha prodotto alcun indizio utile sull'identità dell'applicazione.

Questo abuso non è esattamente un problema per i miei server, ma è fastidioso. Come posso identificare il programma Java che è responsabile?

java http malware botnet

posta ruief 24.04.2013 - 16:02

fonte

4 risposte

Leggi altre domande sui tag java http malware botnet

Qual è un buon modo per prevenire gli attacchi di captcha? Come prevenire gli attacchi al server

score 8 · Answer 1

Lo "user agent" è una stringa inviata da chiunque si connette al tuo sistema - l'individuo antisociale. Pertanto, non puoi davvero fidarti. Il che significa che non si può presumere che questo client usi realmente Java. In realtà, se la versione di Java è "su tutta la mappa", allora questa è una strong indicazione che il client è non che usa Java. Un vero client HTTP standard basato su Java restituirà la versione del JDK utilizzato; 1.4.1_04 è molto vecchio e potrebbe non funzionare più con un sistema operativo recente.

Quindi la mia opinione è che puoi cancellare la parola chiave "Java" nella tua ricerca. Queste richieste sono probabilmente i lavori di una botnet che cerca di diffondersi; le macchine infettate inviano queste richieste HTTP per ottenere alcune informazioni sui server Web casuali (ad esempio la versione del software server) e mascherano come "richieste Java" per evitare alcuni firewall e filtri configurati in modo non corretto.

Questo non è fatto per infastidire tu . In realtà infastidisce tutti . Tutti i server disponibili pubblicamente riceveranno richieste come la tua; replicando le botnet basta usare indirizzi IP casuali e non è possibile eludere la casualità. Ne ho anche alcuni sul mio server.

score 1 · Answer 2

Potresti provare a pungerli. Imposta un tipo di account a cui puoi tracciare l'accesso. Quindi lascia che rubino qualche informazione falsa da te che concede loro l'accesso. Quando cercano di accedervi forse non saranno così attenti e si daranno da soli.

Naturalmente sembra solo un tipico ping trasmesso. Quindi probabilmente non vale la pena.

score 0 · Answer 3

Hai provato a inviare reindirizzamenti 404, 503 o addirittura 301 a quell'indirizzo IP quando invia richieste? Mi chiedo se l'invio di un reindirizzamento 301 per un mese lo farebbe diventare bug Google invece? Incredibile, ma potrebbe valerne la pena.

score -2 · Answer 4

Ho informazioni su questo che potrebbero aiutare le persone. Recentemente ho registrato tre siti Web con "Web of Trust" (WOT), una società con sede a Helsinki, in Finlandia. Hanno completamente declassato i miei siti affermando che il mio nome di dominio si presentava come un "registrante nascosto". Il trattamento che ho ricevuto sembra altamente non etico, eppure sostengono che sia etico. Non riesco a farli per annullare il danno. Norton SafeWeb nel frattempo non ha avuto problemi a dare ai miei siti un voto OK.

Ma mantenendo ciò come una nota correlata e arrivando più al punto, ho iniziato a ottenere le voci Java1.4.1_04 nei miei log poco dopo aver registrato i nuovi siti con WOT. Tutti gli accessi ai cattivi attori provengono da fonti europee, Norvegia, Svezia, Spagna, Inghilterra, ecc. Ho anche cercato alcuni IP sulla ricerca ip:

whatismyipaddress

e ho trovato alcuni elementi di disturbo, che hanno iniziato a verificarsi dopo aver registrato i miei siti Web con la rete di fiducia.

whatismyipaddress ha segnalato che questi siti sono stati segnalati dagli utenti, centinaia di volte, come "possibili spammer del forum".

Sembrerebbe dalla mia orribile esperienza che non ci si possa fidare di Web of Trust. Devi giudicare da solo, comunque. I loro moderatori del forum sono statunitensi per gestire la lingua inglese e sembrano essere inflessibili ed egoisti, appassionati di potere.

Ecco i link per mostrare cosa hanno fatto ai miei siti:

link link

Sono autorizzato a pubblicare solo 2 URL qui; c'è un terzo sito che è stato valutato male.

Ecco i link a Norton SafeWeb per gli stessi siti:

Spiacenti, questo sito non mi consente di pubblicare altri link, poiché sono nuovo per lo scambio di stack di sicurezza. Ma puoi cercare i miei siti, AVenuesPlus, CircaNova e VeteransAssembly su SafeWeb.

Al momento di questo post, SafeWeb deve ancora testare circanova, ma dovrebbe andar bene quando lo fanno.

In base alle mie recenti esperienze con WOT e al cattivo traffico degli attori che i miei siti Web hanno ricevuto dopo aver registrato i miei siti con WOT, raccomando estrema cautela, nel caso in cui si consideri la registrazione per il servizio WOT, ATTENZIONE ESTREMA.

WOT si è apparentemente imposto come LEGGE quando definisce ciò che è affidabile in rete. È così eclatante il modo in cui mi hanno trattato, che sono stato costretto a scrivere al senatore Barbara Boxer per un aiuto su questo problema che richiede attenzione in relazione alla legislazione sulle telecomunicazioni / trasmissione.

Attenzione .

Se stai riscontrando problemi con Java1.4.1_04 dopo esserti registrato con WOT, confermalo in questo sito e in altri siti relativi alla sicurezza, in modo che altri possano essere allertati ed essere in grado di evitare i rischi.

------ Altre modifiche aggiunte il 14/08/2013

Se sei il proprietario di un sito e hai iniziato a vedere queste cose nei tuoi registri, inserisci gli indirizzi IP nel tuo file .htaccess

nega da ipaddreass

Probabilmente avrai una lista crescente di tali direttive negate.

Vedrai molto più di Java1.4.1_04 Anche cose come Java / 1.6.0_30 e altri.

Per me è facile vedere queste voci errate in questo momento perché i miei siti sono nuovi con poco traffico.

Dopo esserti iscritto a Web of Trust (WOT), vedo anche cose come questa ...

/wp-login.php?action=register

Naturalmente non esiste un file php di questo tipo nelle mie applicazioni, ma questi pagliacci provano ciò che potrebbero aver violato da qualche altra parte per dire, un sito WordPress. Il mio sito NON è WordPress, wp-login?

Aggiungi IP che facciano questo genere di cose anche a .htaccess.

Non molte persone che hanno diffamato i loro siti da WOT sono consapevoli che la diffamazione è solo la parte visibile del problema. La parte nascosta dell'attività my-cyber-criminale viene rivelata solo nei loro registri e devono prestare attenzione a loro.

Il mio sito è stato diffamato a causa del "registrante nascosto". Ora è ovvio per me che i criminali WOT vogliono che mostri la mia email e i dati dell'indirizzo in whois, perché Dio sa quali sono le intenzioni cattive.

Ancora una volta, È ESTREMAMENTE CAUTOSO riguardo alla possibilità di registrare i tuoi siti su Web of Trust.