Skocz do zawartości
Zaloguj się, aby obserwować  
Zoel

Śmieci w logach, jak blokować znane boty?

Polecane posty

Witam,

 

Jestem w temacie początkujący więc liczę na wyrozumiałość. Mam na serwerze VPS Debiana 6.0 z Fail2ban. Dzisiaj z ciekawości zaglądnąłem w /var/log/apache2/access.log i widzę takie śmieci jak:

 

122.141.234.42 - - [16/Sep/2012:11:37:00 +0200] "GET /user/soapCaller.bs HTTP/1.1" 404 469 "-" "Morfeus Fucking Scanner"
50.56.180.230 - - [16/Sep/2012:13:11:43 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 515 "-" "-"
151.237.190.126 - - [16/Sep/2012:18:52:54 +0200] "GET [color=#ff0000]http://37.28.156.211/sprawdza.php[/color] HTTP/1.1" 404 530 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
202.65.130.155 - - [16/Sep/2012:23:25:46 +0200] "GET /user/soapCaller.bs HTTP/1.1" 404 469 "-" "Morfeus Fucking Scanner"
175.184.121.166 - - [17/Sep/2012:00:48:03 +0200] "GET HTTP/1.1 HTTP/1.1" 400 474 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:03 +0200] "GET /roundcube//bin/msgimport HTTP/1.1" 404 477 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:04 +0200] "GET /rc//bin/msgimport HTTP/1.1" 404 472 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:05 +0200] "GET /mss2//bin/msgimport HTTP/1.1" 404 473 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:05 +0200] "GET /mail//bin/msgimport HTTP/1.1" 404 473 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:06 +0200] "GET /mail2//bin/msgimport HTTP/1.1" 404 474 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:06 +0200] "GET /roundcubemail//bin/msgimport HTTP/1.1" 404 479 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:07 +0200] "GET /rms//bin/msgimport HTTP/1.1" 404 472 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:07 +0200] "GET /webmail2//bin/msgimport HTTP/1.1" 404 477 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:08 +0200] "GET /webmail//bin/msgimport HTTP/1.1" 404 475 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:09 +0200] "GET /wm//bin/msgimport HTTP/1.1" 404 472 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:09 +0200] "GET /bin/msgimport HTTP/1.1" 404 469 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:10 +0200] "GET /roundcubemail-0.1//bin/msgimport HTTP/1.1" 404 480 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:10 +0200] "GET /roundcubemail-0.2//bin/msgimport HTTP/1.1" 404 480 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:11 +0200] "GET /roundcube-0.1//bin/msgimport HTTP/1.1" 404 480 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:12 +0200] "GET /roundcube-0.2//bin/msgimport HTTP/1.1" 404 480 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:12 +0200] "GET /round//bin/msgimport HTTP/1.1" 404 472 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:13 +0200] "GET /cube//bin/msgimport HTTP/1.1" 404 474 "-" "Toata dragostea mea pentru diavola"
175.184.121.166 - - [17/Sep/2012:00:48:13 +0200] "GET  HTTP/1.1" 400 310 "-" "-"
69.162.81.123 - - [17/Sep/2012:05:30:50 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 515 "-" "-"
31.11.220.254 - - [17/Sep/2012:07:11:02 +0200] "GET / HTTP/1.1" 200 462 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
69.162.81.123 - - [17/Sep/2012:13:12:08 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 515 "-" "-"
95.211.55.86 - - [17/Sep/2012:13:34:22 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 515 "-" "-"
70.38.112.218 - - [17/Sep/2012:14:56:12 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 515 "-" "-"
46.163.100.82 - - [17/Sep/2012:20:18:02 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 515 "-" "-"

 

Czytałem o w00t (skaner wyszukujący podatności na serwerach), Morfeusie i chciałbym się dowiedzieć czy olać takie kwiatki w logach czy użyć jakiegoś softu, który na wstępie blokuje te najpopularniejsze boty / próby ataków? Wiem, że są jakieś narzędziea których baza jest regularnie aktualizowana pod kątem takich śmieci ale nie pamiętam nazw tych softów.. więc liczę na pomoc.

 

Firewall w Debianie ustawiony domyślnie na blokowanie wszystkich portów oprócz 80 i 443 (+ SSH ale działa ono na innym porcie i logowanie roota wyłączone). Na serwerze nie działają nieużywane usługi typu Samba.

Edytowano przez Zirgin (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość tom3kk

w00t'a mozesz wyciac z palca iptablesem:

-m string --string "w00t" --algo bm -j DROP

 

reszta o ile Ci nie przeszkadza, w sensie bardzo duzy ruch etc. do olania - aczkolwiek jak chcesz, mozesz poszukac tak jak piszesz "narzedzi"

Edytowano przez tom3kk (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli chodzi o skany portów to polecam CSF bądź PortSentry. Odpowiednio skonfigurowane całkiem ładnie odcinają portscany, tylko nie można przesadzić z limitami :). CSF sam w sobie jest firewall'em, więc jak ktoś już korzysta z IPTables bądź czegoś innego i nie chce tego za żadne skarby zmieniać to z pomocą przyjdzie mu PortSentry ;).

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×