Тема: Кулхацкеры снова

С ростом сети увеличивается количество энтузиастов, которые развивают свои собственные сервисы, но так же растёт количество "вероятных противников". Так называемых "кулхацкеров". Хакерами таких не назвать, потому, что возможности их интеллекта ограничиваются использованием приграммы написанной каким-то достойным программистом.
Но тем не менее неприятностей они доставить могут. И порой не мало. Поэтому предлагаю владельцам частных ресурсов на основании логов сервера или файрвола сообщать тут об атаках с тем, чтобы другие ваши коллеги могли сразу занести на своих серверах отморозков в чёрный список ещё до факта атаки!

Ну а я начну:

Запарили кулхацкеры точить тут свои когти, или как это называется. В общем на сегодня нашлось ещё двое отмороженных:

IP адреса 10.100.40.156 (первый) и 10.100.4.75 (второй)
Давно были забанены у меня в конфиге вебсервера, теперь, видимо со злости, решили подсирать. С начала ноября на текущий момент паразитного траффика в миллион и 100 тысяч запросов, что составляет 300мег и 30 мег уже за две недели. Это половина всего траффика этого домена.

http://10.100.10.88/stat/usage_200811.html#TOPSITES

в октябре второй на 13 миллионов паразитных запросов, первый 278 тысяч. Что составляет 3,7 гиг и 80 мег соответственно. Это 70% всего траффика домена.

http://10.100.10.88/stat/usage_200810.html#TOPSITES

Было замечено несколько "атак" в определённые промежутки времени. В такие моменты видны шквалы запросов по сотне в секунду. Если запросы второго больше похожи на зажатую кнопку F5, то первый пошёл дальше. Его запросы более похожи на сформированные какой-то приблудой.
Не вижу смысла в партянках логов из одинаковых запросов, но если статистики webalizer'а не бостаточно, то могу предоставить оригинальные логи, если надо. У меня "все ходы записаны". Примеры:

Код:

10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://www.datasvit.ks.ua/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://www.datasvit.ks.ua/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"

Код:

10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"

Мне такие мансы удовольствия не доставляют, так как ресурсы сервера и так не пределе. В принципе эти товарищи забанены теперь на серверном файрволе и больше меня не потревожат, но это может обернуться против других пользователей или сервисов сети.
Так что прочим сайтостроителям предлагаю забанить эти адреса и у себя.

Буду благодарен, если администрация вынесет товарищам официальное предупреждение или любую другую меру.
Сразу скажу, что я как таковых претензий не имею, чтобы не повторять прошлую историю. Оставляю это на ваше усмотрение.

PS предлагаю прикрепить тему. Заголовок и вступительное слово я поправил "в соответствии с ..."

Забрать у них компьютеры (у обоих) и отправить модерить флейм!

Продолжаю:

10.100.14.139 - попытка гнуть пальцами у меня в привате на тему влома сервера и, как следствие, бан по IP на сервере в целом. Далее угрозы в ICQ взлома моего номера аськи, почты и сервера из интернета.
Желаю удачи во взломе запортмаппенного сервера за аппаратным маршрутизатором.

Как запретить доступ к серверу по адресу

Возможна масса вариантов. Один из самых простых - запретить доступ в конфигурации сервера Apache.
Для этого нужно найти файл httpd.conf коорый лежит в папке conf корневой директории установки. Открыть его любимым текстовым редактором и найти там строку, которая описывает права доступа к корневой директории. Она выглядит как-то так:

Код:

<Directory "c:/webserver/htdocs">

Только путь у вас может отличаться.

далее находим чуть ниже

Код:

Order Deny,Allow

и дописываем:

Код:

	  Deny from 10.11.12.13
	  Deny from 55.66.

Только IPадреса указываем нужные нам.
В примере первой строкой запрещается доступ с адреса 10.11.12.13 и доступ со всех адресов, начинающихся с 55.66

Но кроме апача у нас есть и другие места, куда могут "постучать". Поэтому чтобы действовать радикально предлагаю закрывать доступ на файрволе.

Если у вас стоит Outpost или что-то подобное, то это значительно упрощает дело. Найдите эти настройки и в перёд.
Обычно нужно указать хост и маску. Если закрываем доступ одному адресу, то хот - это будет целый адрес, а маска 255.255.255.255
если нужно закрыть доступ всем, к примеру 192.168.222.* то нужно хост указать 192.168.222.0 и маска 255.255.255.0

Встроенного средства XP для подобной панипуляции помоему не имеет, хотя какие-то воспоминания у меня остались о каких-то запретах, но это, видимо, было слишком давно...
Есть решение "через задницу". Подробно описывать не буду, кому интересно, тот разберётся. Панель управления - Администрирование - Локальная политика безопасности и там раздел "политика безопасности IP на "Локальный компьютер" или ещё это называется бывает параметры IPSEC или "политики открытого ключа" Короче говоря это самый последний пункт в консоли MMC. Хоть и предназначено это "немного" не для этих целей, но там можно указать, что для доступа с такого-то адреса необходимо быть авторизованным клиентом. Короче говоря - решение какое ни какое.

Ну а в Win Server 2003 всё на много проще: панель управления - администрирование - routing and remote access (маршрутизация и удалённый доступ) [дальше переводить не буду, у меня на англ] - находим раздел IP routing и в нём NAT/basic firewall
после этого справа выбираем сетевой интерфейс, правой кнопкой, свойства, и там кнопочка inbound filters

что-то подобное должно получиться.
Ну вот на этом и всё.
Если кто знает другие способы ограничения - делитесь.

может проще приехать и в бубен дать? =)

Сообщение от romandry

может проще приехать и в бубен дать? =)

пусть лучше админ-истрация ударит в бубен - им это проще. уверен, что у кулхацкеров и бубна-то своего нету :)

Сообщение от yaroslavvv

Мне такие мансы удовольствия не доставляют, так как ресурсы сервера и так не пределе.

Хотите задам справедливый вопрос? А кто мешает сделать так чтобы ресурсы кулхацкеров, а не Ваши были на пределе?
Вы что нибудь, когда нибудь слышали о таком действии как TARPIT? ;)
Аптеки города рекомендуют использовать против надоедливых кулхацкеров, но не против всех, так как это чревато :)

Код:

# iptables -A INPUT -s ip-cool-hacker -j TARPIT

Или у Вас не Linux?

Сообщение от oldengremlin

Хотите задам справедливый вопрос? А кто мешает сделать так чтобы ресурсы кулхацкеров, а не Ваши были на пределе?
Вы что нибудь, когда нибудь слышали о таком действии как TARPIT? ;)
Аптеки города рекомендуют использовать против надоедливых кулхацкеров, но не против всех, так как это чревато :)

Код:

# iptables -A INPUT -s ip-cool-hacker -j TARPIT

Или у Вас не Linux?

Нет, у меня не линукс. Но я слышал о действии MIRROR - порадовало :)

Но за совет спасибо. Я бы с радостью перешел на nix платформу, только пока не знаю о совместимости commfort сервера с wine. Надо оттестить, да всё руки не доходят.

Сообщение от yaroslavvv

Нет, у меня не линукс. Но я слышал о действии MIRROR - порадовало :)

Но за совет спасибо. Я бы с радостью перешел на nix платформу, только пока не знаю о совместимости commfort сервера с wine. Надо оттестить, да всё руки не доходят.

MIRROR в, в этом плане, в сравнении с TARPIT'ом - детский лепет :)