এই 'খারাপ বটগুলি' কীভাবে আমার বন্ধ ওয়েবসার্ভারটি সন্ধান করছে?

আমি কিছুক্ষণ আগে অ্যাপাচি ইনস্টল করেছি এবং আমার অ্যাক্সেস.লগের তাত্ক্ষণিক দৃষ্টিভঙ্গি থেকে দেখা যায় যে সমস্ত ধরণের অজানা আইপি সংযোগ করছে, বেশিরভাগ স্থিতি কোড 403, 404, 400, 408 দিয়ে। তারা কীভাবে সন্ধান করছে তা আমার কোনও ধারণা নেই I আমার আইপি, কারণ আমি এটি কেবল ব্যক্তিগত ব্যবহারের জন্যই ব্যবহার করি এবং এটি একটি রোবটস টেক্সট যুক্ত করে আশা করে যে এটি অনুসন্ধান ইঞ্জিনগুলি দূরে রাখবে। আমি সূচীগুলি অবরুদ্ধ করেছি এবং এটিতে সত্যিকারের গুরুত্বপূর্ণ কিছুই নেই।

এই বটগুলি (বা লোকেরা) সার্ভারটি কীভাবে সন্ধান করছে? এটা কি সাধারণভাবে ঘটে? এই সংযোগগুলি কি বিপজ্জনক / এটি সম্পর্কে আমি কী করতে পারি?

এছাড়াও, প্রচুর আইপি বিভিন্ন প্রকারের দেশ থেকে আসে এবং কোনও হোস্ট নেম সমাধান করে না।

এখানে কী ঘটে তার উদাহরণগুলির একটি গুচ্ছ এখানে দেওয়া হয়েছে:

একটি বড় ঝাড়ুতে, এই বটটি phpmyadmin সন্ধান করার চেষ্টা করেছিল:

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

আমি এই প্রচুর পেতে:

"HEAD / HTTP/1.0" 403 - "-" "-"

প্রচুর "proxyheader.php", আমি জিইটি-তে http: // লিঙ্কগুলির সাথে বেশ কিছুটা অনুরোধ পেয়েছি

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

"Connect"

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

"SoapCaller.bs"

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

এবং এই সত্যিই স্কেচী হেক্স্স বোকা ..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

খালি

"-" 408 - "-" "-"

এটাই এর মূল বক্তব্য। আমি win95 ব্যবহারকারী-এজেন্টদের সাথেও সমস্ত ধরণের জাঙ্ক পাই।

ধন্যবাদ।

ইন্টারনেটে স্বাগতম :)

• তারা আপনাকে কীভাবে খুঁজে পেয়েছে: সম্ভাবনাগুলি হ'ল, আইপি স্ক্যান করা জোর করে। ঠিক যেভাবে তারা তাদের হোস্টটি খুঁজে পেয়েছে তখন তাদের ধ্রুবকতার ধ্রুবক স্ট্রিমটি এটি খুঁজে পেয়েছে।
• ভবিষ্যতে প্রতিরোধ করার জন্য: সম্পূর্ণরূপে এড়ানো যায় না এমন সময়ে, আপনি অ্যাপাচি বা রেট সীমাতে - বা ম্যানুয়ালি নিষিদ্ধ করা - বা এসিএল সেট আপ করতে যেমন Fail2Ban এর মতো সুরক্ষা সরঞ্জামগুলি বাধা দিতে পারেন
• সাধারণ বন্দরগুলিতে সাড়া ফেলে এমন বাইরের কোনও অ্যাক্সেসযোগ্য হার্ডওয়্যারটিতে এটি দেখতে খুব সাধারণ
• এটি কেবলমাত্র বিপজ্জনক যদি আপনার কাছে হোস্টে সফটওয়্যারগুলির অতুলনীয় সংস্করণ থাকে যা দুর্বল হতে পারে। এই স্ক্রিপ্ট কিডির সাথে টিঙ্কার করার জন্য আপনার কাছে 'দুর্দান্ত' কিছু আছে কিনা তা দেখার জন্য এটি কেবল অন্ধ প্রচেষ্টা। এটিকে ভাবুন যে কেউ পার্কিংয়ে ঘুরে বেড়াচ্ছে গাড়ির দরজা দিয়ে চেষ্টা করছে যে তারা তালাবদ্ধ রয়েছে কিনা তা নিশ্চিত করুন, নিশ্চিত হন যে আপনারই আছে এবং তিনি সম্ভবত আপনাকে একা রেখে যাবেন এমন সম্ভাবনা রয়েছে।

এই সার্ভারগুলিতে দুর্বলতাগুলি সন্ধান করার চেষ্টা করছে এমন লোকেরা। প্রায় অবশ্যই প্রশংসিত মেশিন দ্বারা সম্পন্ন।

এটি কেবলমাত্র নির্দিষ্ট আইপি ব্যাপ্তিগুলি স্ক্যান করার লোক হবে - আপনি পিএইচপিএমআইএডমিন থেকে দেখতে পাবেন যে এটি পিএমএর একটি খারাপ সুরক্ষিত প্রাক-ইনস্টল সংস্করণ সন্ধান করার চেষ্টা করছে। এটি একবার খুঁজে পাওয়া গেলে, এটি সিস্টেমে অবাক করা অ্যাক্সেস পেতে পারে।

আপনার সিস্টেমটি আপ টু ডেট রয়েছে এবং আপনার কোনও পরিষেবা নেই যা প্রয়োজন নেই তা নিশ্চিত করুন।

এগুলি জানা সুরক্ষার কাজে ব্যবহারের জন্য স্ক্যান করা রোবট। এগুলি কেবল পুরো নেটওয়ার্ক ব্যাপ্তিগুলি স্ক্যান করে এবং তাই আপনার মতো অযত্নযুক্ত সার্ভারগুলি খুঁজে পেতে পারে। তারা দুর্দান্ত খেলছে না এবং আপনার রোবটস টেক্সট সম্পর্কে চিন্তা করে না। যদি তারা কোনও দুর্বলতা খুঁজে পায়, তারা হয় তা লগইন করে (এবং আপনি শীঘ্রই একটি ম্যানুয়াল আক্রমণ আশা করতে পারেন) অথবা স্বয়ংক্রিয়ভাবে আপনার মেশিনকে রুটকিট বা অনুরূপ ম্যালওয়্যার দ্বারা সংক্রামিত করবে। এটি সম্পর্কে আপনি খুব সামান্য কিছু করতে পারেন এবং এটি ইন্টারনেটে কেবলমাত্র সাধারণ ব্যবসা। আপনার সফ্টওয়্যারটির সর্বদা সর্বশেষতম সুরক্ষা সংস্থাগুলি ইনস্টল করা গুরুত্বপূর্ণ কারণ এগুলি।

অন্যরা যেমন উল্লেখ করেছে যে তারা সম্ভবত নিষ্ঠুর বল স্ক্যানিং করছে। আপনি যদি কোনও ডায়নামিক আইপি ঠিকানায় থাকেন তবে তারা আপনার ঠিকানা স্ক্যান করার সম্ভাবনা বেশি। (নিম্নলিখিত পরামর্শগুলি লিনাক্স / ইউনিক্স ধরেছে, তবে বেশিরভাগ উইন্ডোজ সার্ভারে প্রয়োগ করা যেতে পারে))

এগুলি ব্লক করার সহজ উপায়গুলি হ'ল:

• ফায়ারওয়াল পোর্ট ৮০ এবং কেবলমাত্র আপনার সার্ভারে অ্যাক্সেসের জন্য সীমিত আইপি অ্যাড্রেসগুলির অনুমতি দেয়।
• আপনার অ্যাপাচি কনফিগারেশনে এসিএল (গুলি) কনফিগার করুন যা কেবলমাত্র নির্দিষ্ট ঠিকানাকে আপনার সেভের অ্যাক্সেসের অনুমতি দেয়। (বিভিন্ন সামগ্রীর জন্য আপনার বিভিন্ন বিধি থাকতে পারে))
• ইন্টারনেট থেকে অ্যাক্সেসের জন্য প্রমাণীকরণের প্রয়োজন।
• আপনার বিল্ডটি বাদ দিতে সার্ভার স্বাক্ষরটি পরিবর্তন করুন। (অতিরিক্ত পরিমাণে সুরক্ষা নয়, তবে সংস্করণ নির্দিষ্ট আক্রমণগুলিকে আরও কিছুটা কঠিন করে তোলে।
• ব্যর্থ2ban এর মতো একটি সরঞ্জাম ইনস্টল করুন, তাদের ঠিকানাটি স্বয়ংক্রিয়ভাবে আটকাতে। ম্যাচিং প্যাটার্ন (গুলি) পেতে সঠিকভাবে কিছুটা সময় নিতে পারে, কিন্তু যদি 400 সিরিজের ত্রুটিগুলি আপনার দৃষ্টিতে অস্বাভাবিক হয় তবে এটি খুব কঠিন হতে পারে না।

আপনার সিস্টেমে তারা যে ক্ষয়ক্ষতি করতে পারে তা সীমাবদ্ধ করার জন্য এপাচি প্রক্রিয়াটি কেবল ডিরেক্টরি এবং ফাইলগুলিতে লিখতে পারে যা এটি পরিবর্তন করতে সক্ষম হবে তা নিশ্চিত করুন। বেশিরভাগ ক্ষেত্রে সার্ভারের যে পরিবেশন করা হয় সেগুলিতে কেবলমাত্র পড়ার অ্যাক্সেস প্রয়োজন।

ইন্টারনেট পাবলিক স্পেস, সুতরাং এই শব্দটি পাবলিক আইপি। আপনি জনসাধারণকে অস্বীকার করার কোনও উপায় নির্ধারণ করে (vpn, acl at a ফায়ারওয়াল, ডাইরেক্ট্যাক্সেস ইত্যাদি) গোপন করতে পারবেন না। এই সংযোগগুলি বিপজ্জনক কারণ অবশেষে কেউ আপনার প্যাচিংয়ের চেয়ে আপনার শোষণ করতে দ্রুত হবে। আমি প্রতিক্রিয়া দেওয়ার আগে কিছু প্রকারের প্রমাণীকরণ বিবেচনা করব।