Καλησπέρα σε όλους,

Έχω ένα ερώτημα το οποίο δεν είναι αμιγώς θέμα Code Security αλλά υποθέτω ότι κάποιοι από όσους διαβάζουν ίσως έχουν κάποιες συμβουλές να μου δώσουν.

Πρόσφατα φαίνεται ότι ένας από τους shared hosting servers που έχω για να φιλοξενώ sites πελατών μου έχει γίνει δέκτης κάποιων επιθέσεων. Πρόκειται για μια δική μου εικασία η οποία βασίζεται στα στοιχεία που έχω στα χέρια μου.

Στα περισσότερα από τα sites που έχω επάνω στον server έχω έναν script-based error handling μηχανισμό ο οποίος με ειδοποιεί με email όποτε προκαλείται ένα 500-αρι error. Τις τελευταίες μέρες έχω πάρει πολλά τέτοια emails από πολλά από τα sites που έχω επάνω στον συγκεκριμένο server. Γνωρίζω σίγουρα ότι δεν πρόκειται για πραγματικά errors από legitimate users διότι έχουνε ελλειπή στεία ως προς τις συνθήκες κάτω από τις οποίες προκλήθηκε το σφάλμα. Σε πολλά από τα emails που λαμβάνω φαίνεται ως user agent ο "libwww-perl". Διαβάζοντας στο internet έπεσα πάνω σε αρκετές αναφορές σχετικά με κάποια malicious bots που κυκλοφορούν με αυτόν τον user agent.

Η ερωτήσεις μου είναι:
- Μπορώ με κάποιο τρόπο κεντρικά στον IIS (7.5) να μπλοκάρω ορισμένα bots;
- Αν όχι, τότε θα μπορούσα ίσως να το κάνω μέσω robots.txt σε κάθε ένα από τα sites ξεχωριστά;
- Σκέφτομαι να μπλοκάρω και κάποιες IP αλλά αυτές αλλάζουν συνεχώς. Μάλλον δεν έχει νόημα να κάνω κάτι τέτοιο.

Υπάρχει καμιά άλλη ιδέα/συμβουλή;

Ευχαριστώ,
Βασίλης

vlinakis:

Καλησπέρα σε όλους,

- Σκέφτομαι να μπλοκάρω και κάποιες IP αλλά αυτές αλλάζουν συνεχώς. Μάλλον δεν έχει νόημα να κάνω κάτι τέτοιο.

---

"When the darkness rises up from inside - that is normal.
It's when you reach down to pull it up - that the noxious warnings sound."
Tuzak, Farscape

Καλημέρα κι ευχαριστώ για την απάντηση,

Μπορώ να τρέξω .exe. Ο server είναι shared για τους πελάτες μου αλλά είναι δικός μου. Έχω πλήρη πρόσβαση μέσω RDP.

Τι θα μπορούσα να τρέξω;

Ευχαριστώ,
Βασίλης

Καλημέρα, 

    Ξέρω ότι για τον IIS υπάρχει το UrlScan, το οποίο μπορεί να κάνει filter requests. Δεν το έχω δουλέψει (για να σου πω σίγουρα αν κάνει τη δουλειά) αλλά με λίγο googling είδα ότι γίνεται να βάλεις φίλτρο με βάση το user-agent. 

---

Τάσος Καραγιάννης

Baby debugging steps...

Είχα αναφέρει ένα δικό μου θέμα σε άλλο thread. Καμία σχέση με το δικό σου, αλλά ο κοινός τόπος ήταν ότι ήξερα τα επιτιθέμενα ip. Κάθισα και έφτιαξα ένα προγραμματάκι το οποίο αυτόματα εφαρμόζει IPSec όταν ανιχνεύσει επίθεση. 

---

"When the darkness rises up from inside - that is normal.
It's when you reach down to pull it up - that the noxious warnings sound."
Tuzak, Farscape

Να βλέπω κάτι έγραψε ο Τάσος...

---

"When the darkness rises up from inside - that is normal.
It's when you reach down to pull it up - that the noxious warnings sound."
Tuzak, Farscape

Συνάδελφοι ευχαριστώ για τις απαντήσεις.

Θα δοκιμάσω το URL Scan. Μήπως στο μεταξύ ξέρετε πόσο overhead θα επιφέρει αυτό το scanning στον server; Τρέχουν εκατοντάδες sites πάνω στον server, μερικά εκ των οποίων αρκετά απαιτητικά. Δεν θέλω να "γονατίσω" το μηχάνημα.

Θα διαβάσω κι εγώ τι αναφέρεται στο internet σχετικά με το θέμα αλλά έλεγα μήπως έχετε άποψη.

Βασίλης

Συγγνώμη για την λίγο ετεροχρονισμένη απάντηση σε αυτό τo post αλλά καλό είναι να υπάρχει και αυτή η περίπτωση ή καλύτερα η πρόταση για αντιμετώπιση επιθέσεων από Bots.

Τα περισσότερα botNets λίγο πολύ ξεκινάν από συγκεκριμένες IPs, συγκεκριμένων χωρών. Τα περισσότερα μάλιστα που βρίσκει κάποιος να νοικιάσει στο darknet είναι λίγο-πολύ γνωστά.

Κίνα, Κορέα, Βραζιλία και μερικές άλλες χώρες δεν είναι κακό να "κοπούν" από τον server σου. Ειδικά μάλιστα αν είναι Ελληνικός και το Target Group σου είναι η Ελλάδα τότε τα πράγματα γίνονται λιγότερο σύνθετα.

Υπάρχουν συγκεκριμένες Black Lists (αρκετά ενημερωμένες) που θα μπορούσες να χρησιμοποιήσεις κάτω από την αρχή "BLOCK IP".

Ρίξε μια ματιά εδώ:
http://www.unixhub.com/block.html
http://www.asiteaboutnothing.net/c_block-countries.html
http://www.spam-whackers.com/bad.bots.htm
https://zeustracker.abuse.ch/blocklist.php

Σε διαβεβαιώ οτι με την χρήση του σωστού IP blocking μπορείς να γλυτώσεις από ένα μεγάλο αριθμό τυφλών επιθέσεων ή ακόμα και DDOS ('Zeus' attacks etc.).

---

Nothing to declare...

Τα blacklists/whitelists είναι μάλλον χοντροκομμένη λύση και συχνά γίνονται καταχρήσεις, όπως κάποια γερμανική εταιρεία το οποίο κάνει blacklist ολόκληρους ISPs και τους καθαρίζει μόνο αν πληρώσουν. Άσε που μπορούν να αντιμετωπίσουν μόνο μηχανήματα που είναι ήδη γνωστό ότι πρόκειται για spammers. Αποτελεί μόνο το πρώτο βήμα για να αντιμετωπιστεί το πρόβλημα και δεν πρόκειται να βοηθήσει αν κάποιος μπορέσει να χρησιμοποιήσει κάποιο unpatched vurnerability. 

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos