HTTP w00tw00t আক্রমণ মোকাবেলা করা

আমার অ্যাপাচি সহ একটি সার্ভার রয়েছে এবং আমি সম্প্রতি_আর_র সুরক্ষা 2 ইনস্টল করেছি কারণ এর দ্বারা আমার প্রচুর আক্রমণ হয়েছে:

আমার অ্যাপাচি সংস্করণটি অ্যাপাচি v2.2.3 এবং আমি mod_security2.c ব্যবহার করি

এটি ত্রুটি লগ থেকে এন্ট্রি ছিল:

[Wed Mar 24 02:35:41 2010] [error] 
[client 88.191.109.38] client sent HTTP/1.1 request without hostname 
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:47:31 2010] [error] 
[client 202.75.211.90] client sent HTTP/1.1 request without hostname 
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:47:49 2010] [error]
[client 95.228.153.177] client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:48:03 2010] [error] 
[client 88.191.109.38] client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

অ্যাক্সেস_লগ থেকে এখানে ত্রুটি রয়েছে:

202.75.211.90 - - 
[29/Mar/2010:10:43:15 +0200] 
"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 392 "-" "-"
211.155.228.169 - - 
[29/Mar/2010:11:40:41 +0200] 
"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 392 "-" "-"
211.155.228.169 - - 
[29/Mar/2010:12:37:19 +0200] 
"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 392 "-" "-" 

আমি মোড_সিকিউরিটি 2 এর মতো কনফিগার করার চেষ্টা করেছি:

SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind"
SecFilterSelective REQUEST_URI "\w00tw00t\.at\.ISC\.SANS"
SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS"
SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:"
SecFilterSelective REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:\)"

মোড_সিকিউরিটি ২ তে জিনিসটি সেকফিল্টারসেক্টিভ ব্যবহার করা যায় না, এটি আমাকে ত্রুটি দেয়। পরিবর্তে আমি এই জাতীয় নিয়ম ব্যবহার করি:

SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind"
SecRule REQUEST_URI "\w00tw00t\.at\.ISC\.SANS"
SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS"
SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:"
SecRule REQUEST_URI "w00tw00t\.at\.ISC\.SANS\.DFind:\)"

এমনকি এটি কাজ করে না। আমি আর কি করতে হবে তা জানি না. কারও কোন পরামর্শ আছে?

আপডেট 1

আমি দেখতে পাচ্ছি যে কেউ মোড_সিকিউরিটি ব্যবহার করে এই সমস্যাটি সমাধান করতে পারে না। এখনও অবধি আইপি-টেবিলগুলি ব্যবহার করার পক্ষে এটি সর্বোত্তম বিকল্প হিসাবে মনে হয় তবে আমি মনে করি যে ফাইলটি অত্যন্ত বড় হয়ে উঠবে কারণ আইপি একদিন পরিপালনের সময় পরিবর্তন করে।

আমি 2 টি অন্যান্য সমাধান নিয়ে এসেছি, কেউ তাদের সম্পর্কে ভাল থাকতে পারে বা না সে সম্পর্কে মন্তব্য করতে পারে।

1. আমার মনে যে প্রথম সমাধানটি আসে তা হ'ল আমার অ্যাপাচি ত্রুটি লগগুলি থেকে এই আক্রমণগুলি বাদ দেওয়া। এটি অন্যান্য জরুরী ত্রুটিগুলি হওয়ার কারণে এটি সনাক্ত করা আমার পক্ষে আরও সহজ এবং এটির জন্য একটি দীর্ঘ লগকে গর্তের থুতু ফেলতে হবে না।

2. দ্বিতীয় বিকল্পটি আমার মনে হয় আরও ভাল এবং এটি হোস্টগুলিকে অবরুদ্ধ করছে যা সঠিক উপায়ে প্রেরণ করা হয়নি। এই উদাহরণে w00tw00t আক্রমণটি হোস্টনাম ছাড়াই প্রেরণ করা হয়েছে, তাই আমি মনে করি যে আমি সঠিক ফর্মটিতে নেই এমন হোস্টগুলিকে ব্লক করতে পারি।

আপডেট 2

উত্তরগুলি ট্রাটে যাওয়ার পরে আমি নিম্নলিখিত সিদ্ধান্তে পৌঁছেছি।

1. অ্যাপাচে কাস্টম লগিং করার জন্য কিছু অপ্রয়োজনীয় পুনরুদ্ধার গ্রাস করবে এবং যদি সত্যিই কোন সমস্যা হয় তবে আপনি সম্ভবত কিছু না হারিয়ে পুরো লগটি দেখতে চাইবেন।

2. হিটগুলি উপেক্ষা করার জন্য এবং আপনার ত্রুটিযুক্ত লগগুলি বিশ্লেষণের আরও ভাল উপায়ে মনোনিবেশ করা ভাল। আপনার লগগুলির জন্য ফিল্টার ব্যবহার করা এটির জন্য একটি ভাল পদ্ধতির approach

বিষয় সম্পর্কে চূড়ান্ত চিন্তা

উপরে উল্লিখিত আক্রমণটি আপনার মেশিনে পৌঁছাবে না যদি আপনার কমপক্ষে একটি আপ টু ডেট সিস্টেম থাকে তাই মূলত কোনও উদ্বেগ নেই।

কিছুক্ষণের পরে আসল আক্রমণগুলি থেকে সমস্ত বোগাস আক্রমণগুলি ফিল্টার করা শক্ত হতে পারে কারণ ত্রুটিযুক্ত লগ এবং অ্যাক্সেস লগ উভয়ই অত্যন্ত বড় হয়ে যায়।

এটিকে যে কোনও উপায়ে ঘটতে না পারায় আপনার সংস্থানগুলির জন্য ব্যয় হবে এবং গুরুত্বহীন স্টাফগুলিতে আপনার সংস্থানগুলি নষ্ট না করা একটি ভাল অনুশীলন।

আমি এখন যে সমাধানটি ব্যবহার করি তা হ'ল লিনাক্স লগওয়াচ । এটি আমাকে লগগুলির সংক্ষিপ্তসার পাঠায় এবং সেগুলি ফিল্টার করে গোষ্ঠীভুক্ত করা হয়। এইভাবে আপনি গুরুত্বপূর্ণটিকে গুরুত্বহীন থেকে সহজেই আলাদা করতে পারেন।

সহায়তার জন্য আপনাকে সকলকে ধন্যবাদ, এবং আমি আশা করি এই পোস্টটি অন্য কারও পক্ষেও সহায়ক হতে পারে।

আপনার ত্রুটি লগ থেকে তারা হোস্ট ছাড়াই একটি HTTP / 1.1 অনুরোধ পাঠাচ্ছে: অনুরোধের অংশ। আমি যা পড়েছি তা থেকে অ্যাপাচি Mod_security হস্তান্তর করার আগে 40000 (খারাপ অনুরোধ) ত্রুটির সাথে এই অনুরোধের জবাব দেয়। সুতরাং, আপনার নিয়মগুলি প্রক্রিয়া করা হবে বলে মনে হচ্ছে না। (মোদা_ সুরক্ষার কাছে হস্তান্তর করার আগে অ্যাপাচি এর সাথে ডিল করছে)

নিজেকে চেষ্টা করুন:

টেলনেট হোস্টনেম 80
GET /blahblahblah.html HTTP / 1.1 পান (প্রবেশ করুন)
(Enter)

আপনার 400 টি ত্রুটি হওয়া উচিত এবং আপনার লগগুলিতে একই ত্রুটিটি দেখতে পাওয়া উচিত। এটি একটি খারাপ অনুরোধ এবং অ্যাপাচি সঠিক উত্তর দিচ্ছে।

যথাযথ অনুরোধটি দেখতে হবে:

GET /blahblahblah.html HTTP / 1.1 পান
হোস্ট: blah.com

এই ইস্যুটির জন্য প্রায়শই কাজটি মোড_ ইউনিকাইডের প্যাচ করা, এমনকি একটি ব্যর্থ অনুরোধের জন্য একটি অনন্য আইডি তৈরি করা যাতে অ্যাপাচি তার অনুরোধ হ্যান্ডলারের কাছে অনুরোধটি দেয়। নীচের ইউআরএলটি প্রায় এই কাজটি সম্পর্কে আলোচনা এবং এতে মোড_ ইউনিকিডের জন্য একটি প্যাচ রয়েছে যা আপনি ব্যবহার করতে পারেন: http://marc.info/?l=mod-security-users&m=123300133603876&w=2

এর জন্য অন্য কোনও সমাধান খুঁজে পাওয়া যায় নি এবং ভাবছেন যে আসলেই কোনও সমাধানের প্রয়োজন।

আইপি ফিল্টার করা ভাল ধারণা নয়, ইমো। আপনার জানা স্ট্রিং ফিল্টার করার চেষ্টা করবেন না কেন?

আমি বোঝাতে চাই:

iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

আইভি আমার লগ ফাইলগুলিতে এই ধরণের বার্তা দেখতে শুরু করে started এই ধরণের আক্রমণগুলি প্রতিরোধের একটি উপায় হ'ল ব্যর্থতা 2 ( http://www.fail2ban.org/ ) সেটআপ করা এবং নির্দিষ্ট আইপি ঠিকানাগুলিকে কালো তালিকাভুক্ত করার জন্য নির্দিষ্ট ফিল্টারগুলি সেটআপ করা আপনার আইপিটিবেলের নিয়মে।

এই ফিল্টারগুলির একটি উদাহরণ যা এই বার্তাগুলি তৈরির সাথে যুক্ত আইপি ঠিকানাটিকে ব্লক করবে

[মঙ্গলবার অগস্ট 16 02:35:23 ২০১১] [ত্রুটি] [ক্লায়েন্ট] ফাইলটির অস্তিত্ব নেই: /var/www/skraps/w00tw00t.at.blackhats.rolaman.anti-sec :) === অ্যাপাচি ডাব্লিউটিটি ডাব্লু 00 টি বার্তা জেল - রেজেক্স এবং ফিল্টার === জেল

 [apache-wootwoot]
 enabled  = true
 filter   = apache-wootwoot
 action   = iptables[name=HTTP, port="80,443", protocol=tcp]
 logpath  = /var/log/apache2/error.log
 maxretry = 1
 bantime  = 864000
 findtime = 3600

ছাঁকনি

 # Fail2Ban configuration file
 #
 # Author: Jackie Craig Sparks
 #
 # $Revision: 728 $
 #
 [Definition]
 #Woot woot messages
 failregex = ^\[\w{1,3} \w{1,3} \d{1,2} \d{1,2}:\d{1,2}:\d{1,2} \d{1,4}] \[error] \[client 195.140.144.30] File does not exist: \/.{1,20}\/(w00tw00t|wootwoot|WootWoot|WooTWooT).{1,250}
 ignoreregex =

w00tw00t.at.blackhats.roमण.anti-সেকেন্ড হ্যাকিংয়ের চেষ্টা এবং স্পুফ আইপি ব্যবহার করে যেমন ভিজুয়ালরউট চীন, পোল্যান্ড, ডেনমার্ক ইত্যাদিকে আইপি অনুসারে তৃতীয় হওয়ার পরে রিপোর্ট করবে। সুতরাং একটি অস্বীকৃত আইপি স্থাপন বা সমাধানযোগ্য হোস্টের নাম স্থাপন করা অসম্ভব নিকটে রয়েছে কারণ এটি এক ঘন্টার মধ্যে পরিবর্তিত হবে।

আমি ব্যক্তিগতভাবে আইপিটিবেলস বিধিগুলিকে অটো-যুক্ত করতে পাইথন স্ক্রিপ্ট লিখেছিলাম।

লগিং এবং অন্যান্য জাঙ্ক ছাড়াই এখানে একটি সংক্ষিপ্ত সংক্ষিপ্ত সংস্করণ:

#!/usr/bin/python
from subprocess import *
import re
import shlex
import sys

def find_dscan():
        p1 = Popen(['tail', '-n', '5000', '/usr/local/apache/logs/error_log'], stdout=PIPE)
        p2 = Popen(['grep', 'w00t'], stdin=p1.stdout, stdout=PIPE)

        output = p2.communicate()[0].split('\n')

        ip_list = []

        for i in output:
                result = re.findall(r"\b(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b", i)
                if len(result):
                        ip_list.append(result[0])

        return set(ip_list)

for ip in find_dscan():
        input = "iptables -A INPUT -s " + ip + " -j DROP"
        output = "iptables -A OUTPUT -d " + ip + " -j DROP"
        Popen(shlex.split(input))
        Popen(shlex.split(output))

sys.exit(0)

আমি বিশ্বাস করি যে মোড_সিকিউরিটি আপনার পক্ষে কাজ করছে না তা হ'ল অ্যাপাচি অনুরোধগুলিকে নিজেরাই বিশ্লেষণ করতে সক্ষম হয় নি, এগুলি স্পষ্ট। আমি নিশ্চিত না যে আপনার এখানে সমস্যা আছে - আপাচে নেট থেকে যা ঘটছে তা অদ্ভুত বিষ্ঠা লগ করছে, এটি যদি এটি লগ না করে তবে আপনি তার এমনকি ঘটতেও সচেতন হবেন না। অনুরোধগুলি লগ করার জন্য প্রয়োজনীয় সংস্থানগুলি সম্ভবত ন্যূনতম। আমি এটির হতাশাকে বুঝতে পারি যে কেউ আপনার লগগুলি পূরণ করছে - তবে আপনি যদি সত্যিই এটির প্রয়োজন হয় এটির জন্য আপনি লগিং নিষ্ক্রিয় করেন তবে এটি আরও হতাশ হবে। কেউ আপনার ওয়েবসারভারে প্রবেশ করেছে এবং আপনার কীভাবে লগ হয়েছিল তা দেখানোর জন্য আপনার লগগুলি প্রয়োজন।

একটি সমাধান হ'ল সিসলগের মাধ্যমে ত্রুটি-লগিং সেটআপ করা এবং তারপরে আরএসএসলগ বা সিসলগ-এনজি ব্যবহার করে আপনি w00tw00t সম্পর্কিত এই আরএফসি লঙ্ঘনগুলিকে নির্দিষ্টভাবে ফিল্টার এবং বাতিল করতে পারেন। অথবা বিকল্পভাবে আপনি এগুলিকে একটি পৃথক লগ ফাইলে কেবল ফিল্টার করতে পারেন যাতে আপনার প্রধান ত্রুটিলোগটি পড়া সহজ। এই ক্ষেত্রে Rsyslog অবিশ্বাস্যভাবে শক্তিশালী এবং নমনীয়।

সুতরাং httpd.conf এ আপনি করতে পারেন:

ErrorLog syslog:user 

তারপরে rsyslog.conf এ আপনার থাকতে পারে:

:msg, contains, "w00tw00t.at.ISC.SANS.DFind" /var/log/httpd/w00tw00t_attacks.log

সচেতন হোন, এই পদ্ধতিটি সরাসরি কোনও ফাইলে লগিংয়ের চেয়ে মূলত ব্যবহৃত বহুগুণ বেশি সংস্থান ব্যবহার করবে । আপনার ওয়েবসার্ভারটি যদি খুব ব্যস্ত থাকে তবে এটি সমস্যা হয়ে উঠতে পারে।

সকল লগ যত তাড়াতাড়ি সম্ভব রিমোট লগিং সার্ভারে প্রেরণ করা এটির সেরা অনুশীলন এবং এটির ফলে আপনি কখনই ভেঙে পড়তে পারবেন যেহেতু যা করা হয়েছিল তার নিরীক্ষণের ট্রেইলটি মুছে ফেলা আরও কঠিন।

আইপিটিবেলস ব্লক করা একটি ধারণা, তবে আপনি একটি খুব বড় iptables ব্লক তালিকার সাথে শেষ করতে পারেন যা নিজেই কার্য সম্পাদন করতে পারে lic আইপি অ্যাড্রেসগুলিতে কি কোনও প্যাটার্ন রয়েছে, বা এটি কোনও বড় বিতরণ করা বোটনেট থেকে আসছে? আপনি iptables থেকে কোনও সুবিধা পাওয়ার আগে সেখানে ডুপ্লিকেটগুলির X% থাকা দরকার।

আপনি আপডেট 2 তে বলেছেন:

এখনও যে সমস্যাটি রয়ে গেছে তা নিম্নরূপ: এই আক্রমণগুলি বটগুলি থেকে আসে যা আপনার সার্ভারে কিছু নির্দিষ্ট ফাইল অনুসন্ধান করে। এই বিশেষ স্ক্যানারটি ফাইল / w00tw00t.at.IS..SC.SANS.DFind :) এর জন্য অনুসন্ধান করে।

এখন আপনি এটি এড়াতে পারেন যা সবচেয়ে বেশি প্রস্তাবিত। সমস্যাটি থেকে যায় যে যদি একদিন আপনার সার্ভারে আপনার এই ফাইলটি থাকে তবে আপনি কিছু সমস্যায় পড়েছেন।

আমার পূর্ববর্তী উত্তর থেকে আমরা সংগ্রহ করেছি যে দুর্বলভাবে গঠিত এইচটিএমএল 1.1 কোয়ের কারণে আপাচি একটি ত্রুটি বার্তা ফিরিয়ে দিচ্ছে। এইচটিটিপি / ১.১ সমর্থনকারী সমস্ত ওয়েব-সার্ভারগুলি যখন এই বার্তাটি গ্রহণ করবে তখন সম্ভবত একটি ত্রুটি ফিরিয়ে দেওয়া উচিত (আমি আরএফসি-র দ্বিগুণ পরীক্ষা করে দেখিনি - সম্ভবত আরএফসি 2616 আমাদের জানিয়েছে)।

W00tw00t.at.ISC.SANS.DFind: আপনার সার্ভারে এমন কিছু যেখানে রহস্যজনকভাবে এটি বোঝায় না "আপনি কিছু সমস্যায় পড়েছেন" ... আপনি যদি w00tw00t.at.ISC.SANS.DFind: আপনার ডকুমেন্টআরটে ফাইল বা এমনকি তৈরি করেন ডিফল্ট ডকুমেন্ট রূট এতে কিছু যায় আসে না ... স্ক্যানারটি একটি ভাঙা এইচটিটিপি / 1.1 অনুরোধ পাঠাচ্ছে এবং অ্যাপাচি "না, এটি একটি খারাপ অনুরোধ ... গুড বাই" বলে দিচ্ছে। W00tw00t.at.ISC.SANS.DFind: ফাইলের ডেটা সরবরাহ করা হবে না।

আপনি সত্যিকার অর্থে (কোনও বিন্দু?) না চাইলে এই মামলার জন্য মোড_সিকিউরিটি ব্যবহার করা আবশ্যক নয় ... যার ক্ষেত্রে আপনি নিজে এটি প্যাচিংয়ের দিকে নজর রাখতে পারেন (অন্য উত্তরের লিঙ্ক)।

আর একটি জিনিস যা আপনি সম্ভবত ব্যবহার করে দেখতে পারেন তা হল মোড_সিকিউরিটির আরবিএল বৈশিষ্ট্য। সম্ভবত এমন কোনও আরবিএল অনলাইনে রয়েছে যেখানে ডাব্লু 100 টিডব্লিউটিটি আইপি সরবরাহ করা হয় (বা অন্যান্য পরিচিত দূষিত আইপি)। তবে এর অর্থ হ'ল মোড_সিকিউরিটি প্রতিটি অনুরোধের জন্য একটি ডিএনএস লুকআপ করে।

মোডেস্কিউরেসিটিতে একটি বিধি যুক্ত করার বিষয়ে কীভাবে? এটার মতো কিছু:

   SecRule REQUEST_URI "@rx (?i)\/(php-?My-?Admin[^\/]*|mysqlmanager
   |myadmin|pma2005|pma\/scripts|w00tw00t[^\/]+)\/"
   "severity:alert,id:'0000013',deny,log,status:400,
   msg:'Unacceptable folder.',severity:'2'"

আমি দেখতে পাচ্ছি যে বেশিরভাগ সমাধান ইতিমধ্যে উপরে coveredাকা রয়েছে তবে আমি উল্লেখ করতে চাই যে সমস্ত ক্লায়েন্টকে হোস্টনামের আক্রমণ ছাড়াই এইচটিটিপি / 1.1 অনুরোধ প্রেরণ করা সরাসরি আপনার সার্ভারে নয়। আপনার সার্ভারের পূর্ববর্তী নেটওয়ার্ক সিস্টেমটি ফিঙ্গারপ্রিন্ট এবং / অথবা শোষণ করার বিভিন্ন প্রচেষ্টা রয়েছে যেমন ব্যবহার করে:

client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /tmUnblock.cgi

লিংকিস রাউটার ইত্যাদি লক্ষ্যবস্তু করা ইত্যাদি তাই এটি কখনও কখনও আপনার মনোযোগ আরও প্রশস্ত করতে এবং আপনার প্রতিরক্ষা প্রচেষ্টাগুলিকে সমান অংশের সাথে সমস্ত সিস্টেমের মধ্যে ভাগ করতে সহায়তা করে যেমন: রাউটার নিয়মগুলি প্রয়োগ করুন, ফায়ারওয়াল বিধিগুলি প্রয়োগ করুন (আশা করি আপনার নেটওয়ার্কের একটি রয়েছে), সার্ভার ফায়ারওয়াল / আইপি টেবিল প্রয়োগ করুন বিধি এবং সম্পর্কিত পরিষেবাদি যেমন মোড_সিকিউরিটি, ব্যর্থ 2 বা আরও অনেক কিছু।

এ কেমন?

iptables -I INPUT -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j DROP
iptables -I INPUT -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET /w00tw00t.at.ISC.SANS.DFind' -j LOG --log-level 4 --log-prefix Hacktool.DFind:DROP:

আমার জন্য ভাল কাজ করে।

আপনি যদি hiawathaওয়েব সার্ভারটিকে কোনও হিসাবে ব্যবহার করেন তবে reverse proxyএই স্ক্যানগুলি স্বয়ংক্রিয়ভাবে আবর্জনা এবং clientনিষিদ্ধ হিসাবে বাদ দেওয়া হবে । এটি ফিল্টার XSSও CSRFশোষণও করে।