Alcuni bot continuano a postare questo sul mio server

0

Alcuni bot continuano a pubblicare stringhe come questa sul mio server. Che cosa significano e qual è il modo migliore per prevenirli?

  1. RaxfkI/IZARdmslPRT3qzmMmaAmJOQ1i3lJWx9f4jJBQ0fVChoXCF3hlRjvticMkgEQxR7RKxb8uWfcbQa9jRqW8JFfOAykAsg7Nkf6MdScjE0bgyo0757jvOKqamcMA/xicZs_/S26J7PFUu2H/TMrJxwhAoAyvoFYavKcqWRccoZKCKAStUxJ6V8nqaXfIc6PL9dVRxWqSPyEUL7Y212kGO9fET70YOJj0lw/hkHUuRzRBSn/LXRE8RJVSGW5HmsLVbrG9Rp_I/omjALqCtBMZ/spkWrRYRK2uOotRCNLNVdQz23ioYLUB3TIpZc6wCwz6HpZe7hhOzlikAZW22acDDAOicP7/i9jaHvvC5ine85J1D7QAd3Nuz6/ZsaQN4koSktdDoK8evUIvHCTpcCxnI/SaH6fmIhtuRaDsEK4K

  2. EaMIk9rLYLRC5UGCKDcSS2GcXmsKekjiO3OPn79AZ/g67w6ensoQufXWcCJaKFq_GEe7/k3qPwbWDyWd1wY/lgptLoFqn_7EE6vUg0WRX/e9DX3vvlZHB2_kkPDGPw2cIL2c8fbEScsQcePT1gNzcCwATzFUgK7SHN2rv01C6jW2qiLzoVPB53Fb9Go9HfAAKmgOj4NYhKSnK7eQW5_M5q9q_EjqO62pj7ohVofKlog7lvQ0h80uwtYjA0DDPbbkBFWFbik5ZULv_KgVhwnx9IUPVRyzXAi2W5KWExWH8u_Lm2wOaNJZHvXagCPIMO4ThHNfpT_5v9mtUfBQR14D1VRnbVHOIg

  3. Rq1ckN7PZJp1PEjQqFJJjzDLdlC666M1FPfhEGF6cqUER4lAw8aIkJKSUc4VgU1lzfx32AyKmQbbjbrmJCEpAVjfhyunmVj7Adh/uK4WEuiwLiQlNs0qWqjtEAJg4b7sAAuODrzS48FtO975UIUlsT85Wj9uzknsqH9M1k0WrCgg7ngkAlcJmlKryDzMtxdQ8RJR75wU77ADuD8tB1Op1Yby2V/Cb4fgH3KQTmU_qSXUNgH5BHXCY_MRSCwbGQVvzsgGwqbcjboZmtACFc850IgPg1Yx9yuLxJfsciGRTUy8B/6QSZjfRGC0ujFOMJ6OUVE2f/owbx6GJKp_ULiIPE42rFEdA6Y5jtoCLMxhT_qzYUaUOcv9WmMwYMkpC9oWHe8SYieEYQ

Ho ricevuto più di 2400 richieste come questa. Sono tutti pubblicati sull'IP del mio server, non sul nome del dominio.

Il mio server continua a lanciare un MethodNotAllowedHttpException che viene catturato dal mio gestore di errori, che è il modo in cui so che questo continua a succedere. Non penso che stia causando alcun danno, ma se stanno mangiando le mie risorse del server, vorrei impedirlo.

    
posta mpen 28.10.2017 - 21:45
fonte

1 risposta

1

Un modo possibile per impedire upload e attacchi come hai descritto e molti altri è installare apache mod_security con OWASP ModSecurity CRS regole.

Possono anche essere applicati a ngnix e molto probabilmente ti proteggeranno da:

  • SQL Injection (SQLi)
  • Cross Site Scripting (XSS)
  • Inclusione file locale (LFI)
  • Inclusione file remota (RFI)
  • Esecuzione di codice remoto (RCE)
  • PHP Codice di iniezione
  • Violazioni del protocollo HTTP
  • Correzione sessione shellshock
  • Rilevamento dello scanner
  • Metadata / perdite di errori
  • Blacklist del progetto Honey Pot
  • Blocco paese GeoIP

Se i server non sono in esecuzione su apache, puoi comunque avere server come proxy inverso e proteggere la tua applicazione web.

Una volta che mod_security è stato abilitato e configurato, puoi andare oltre e installare e configurare fail2ban per vietare agli IP di tentare di hackerarti in questo modo:

  1. Installa fail2ban come per il tuo sistema (yum install o apt install fail2ban...)
  2. Crea /etc/fail2ban/filter.d/modsec.conf
  3. Inserisci quanto segue in quel file:

    # Fail2Ban configuration file
    #
    # Author: Florian Roth
    
    [Definition]
    failregex = \[.*?\]\s[\w-]*\s<HOST>\s
    ignoreregex =
    
  4. Quindi inserisci questo in /etc/fail2ban/jail.conf

     #
     # HTTP servers
     #
    
     [modsec]
     enabled  = true 
     filter   = modsec
     action   = iptables-multiport[name=ModSec, port="http,https"]
     sendmail-buffered[name=ModSec, lines=5, [email protected]]
     logpath  = /var/log/apache2/modsec_audit.log
     bantime  = 172800
     maxretry = 3
    
     [apache]
     enabled  = true
     port        = http,https
     filter   = apache-auth
     logpath  = /var/log/apache*/*error.log
     maxretry = 6
    

Quindi assicurati di riavviare fail2ban e apache.

Un altro modo è acquistare un dispositivo preconfigurato come sophos UTM con il firewall dell'applicazione Web, è un buon modo se si possiede il data center con i server, perché UTM scaricherà i server Web da tale attività (in realtà, in realtà è in esecuzione anche la sicurezza delle mod, oltre ad alcune funzionalità aggiuntive come l'ispezione dei pacchetti, l'antivirus ...)

    
risposta data 31.10.2017 - 18:16
fonte

Leggi altre domande sui tag