Code Security

Απ: Re: Απ: Re: Απ: Spam/Malicious Bot blocking στον IIS

Παναγιώτης Καναβός — Wed, 10 Oct 2012 18:05:24 GMT

Τα blacklists/whitelists είναι μάλλον χοντροκομμένη λύση και συχνά γίνονται καταχρήσεις, όπως κάποια γερμανική εταιρεία το οποίο κάνει blacklist ολόκληρους ISPs και τους καθαρίζει μόνο αν πληρώσουν. Άσε που μπορούν να αντιμετωπίσουν μόνο μηχανήματα που είναι ήδη γνωστό ότι πρόκειται για spammers. Αποτελεί μόνο το πρώτο βήμα για να αντιμετωπιστεί το πρόβλημα και δεν πρόκειται να βοηθήσει αν κάποιος μπορέσει να χρησιμοποιήσει κάποιο unpatched vurnerability.

Η ερώτηση αυτή καλό θα ήταν να γίνει στην κοινότητα των IT Pros, το Autoexec.gr , καθώς τα περισσότερα firewalls ήδη έχουν μηχανισμούς προστασίας από spam και bots. Το Autoexec έχει κατηγορία ακριβώς γι αυτό το θέμα. Η Microsoft μάλιστα έχει ολόκληρη οικογένεια προϊόντων από τα οποία το Forefront TMG δουλεύει ως web proxy και firewall.

Όπως και να έχει, από τη στιγμή που μιλάμε για shared hosting είναι δουλειά του provider να παρέχει αυτή την προστασία. Αν δεν το κάνει, μάλλον θα πρέπει να γίνει upgrade το πακέτο hosting σε κάτι που παρέχει προστασία ή ακόμα και να αλλάξει ο provider.

Απ: Re: Απ: Re: Απ: Spam/Malicious Bot blocking στον IIS

Thiseas — Wed, 10 Oct 2012 05:14:29 GMT

Συγγνώμη για την λίγο ετεροχρονισμένη απάντηση σε αυτό τo post αλλά καλό είναι να υπάρχει και αυτή η περίπτωση ή καλύτερα η πρόταση για αντιμετώπιση επιθέσεων από Bots.

Τα περισσότερα botNets λίγο πολύ ξεκινάν από συγκεκριμένες IPs, συγκεκριμένων χωρών. Τα περισσότερα μάλιστα που βρίσκει κάποιος να νοικιάσει στο darknet είναι λίγο-πολύ γνωστά.

Κίνα, Κορέα, Βραζιλία και μερικές άλλες χώρες δεν είναι κακό να "κοπούν" από τον server σου. Ειδικά μάλιστα αν είναι Ελληνικός και το Target Group σου είναι η Ελλάδα τότε τα πράγματα γίνονται λιγότερο σύνθετα.

Υπάρχουν συγκεκριμένες Black Lists (αρκετά ενημερωμένες) που θα μπορούσες να χρησιμοποιήσεις κάτω από την αρχή "BLOCK IP".

Ρίξε μια ματιά εδώ:
http://www.unixhub.com/block.html
http://www.asiteaboutnothing.net/c_block-countries.html
http://www.spam-whackers.com/bad.bots.htm
https://zeustracker.abuse.ch/blocklist.php

Σε διαβεβαιώ οτι με την χρήση του σωστού IP blocking μπορείς να γλυτώσεις από ένα μεγάλο αριθμό τυφλών επιθέσεων ή ακόμα και DDOS ('Zeus' attacks etc.).

Re: Απ: Re: Απ: Spam/Malicious Bot blocking στον IIS

vlinakis — Mon, 28 Feb 2011 18:49:15 GMT

Συνάδελφοι ευχαριστώ για τις απαντήσεις.

Θα δοκιμάσω το URL Scan. Μήπως στο μεταξύ ξέρετε πόσο overhead θα επιφέρει αυτό το scanning στον server; Τρέχουν εκατοντάδες sites πάνω στον server, μερικά εκ των οποίων αρκετά απαιτητικά. Δεν θέλω να "γονατίσω" το μηχάνημα.

Θα διαβάσω κι εγώ τι αναφέρεται στο internet σχετικά με το θέμα αλλά έλεγα μήπως έχετε άποψη.

Βασίλης

Απ: Re: Απ: Spam/Malicious Bot blocking στον IIS

dimos.homatas — Mon, 28 Feb 2011 18:40:10 GMT

Να βλέπω κάτι έγραψε ο Τάσος...

Απ: Re: Απ: Spam/Malicious Bot blocking στον IIS

dimos.homatas — Mon, 28 Feb 2011 18:39:12 GMT

Είχα αναφέρει ένα δικό μου θέμα σε άλλο thread. Καμία σχέση με το δικό σου, αλλά ο κοινός τόπος ήταν ότι ήξερα τα επιτιθέμενα ip. Κάθισα και έφτιαξα ένα προγραμματάκι το οποίο αυτόματα εφαρμόζει IPSec όταν ανιχνεύσει επίθεση.

Βέβαια ήταν εντελώς κομμένο και ραμμένο στα μέτρα μου, αλλά σκεφτόμουν από την επόμενη εβδομάδα να το πιάσω ζεστά και για πιο μοντέρνες πλατφόρμες, για αυτό σε ρώτησα για το OS. Τα έρμα τα Windows ξεκίνησαν μόλις τα τελευταία χρόνια να έχουν έναν ομοιόμορφο τρόπο για να εφαρμόζουν το IPSec, και δυστυχώς δεν έχω τους πόρους για να καλύψω όλες τις περιπτώσεις!

Παρ'όλα αυτά και όπως προείπα καλύτερα να το αφήσουμε για τελευταίο αυτό μιας και είναι λίγο... τσεκουράτη λύση! Δες τι έχουν να προτείνουν οι άλλοι συνάδελφοι, φαντάζομαι να υπάρχει κάποιος πιο managed τρόπος για να γίνει αυτό που λες. Εάν όχι, ευχαρίστως να ασχοληθούμε.

Απ: Re: Απ: Spam/Malicious Bot blocking στον IIS

tasos — Mon, 28 Feb 2011 18:17:03 GMT

Καλημέρα,

Ξέρω ότι για τον IIS υπάρχει το UrlScan, το οποίο μπορεί να κάνει filter requests. Δεν το έχω δουλέψει (για να σου πω σίγουρα αν κάνει τη δουλειά) αλλά με λίγο googling είδα ότι γίνεται να βάλεις φίλτρο με βάση το user-agent.

Re: Απ: Spam/Malicious Bot blocking στον IIS

vlinakis — Mon, 28 Feb 2011 18:14:24 GMT

Καλημέρα κι ευχαριστώ για την απάντηση,

Μπορώ να τρέξω .exe. Ο server είναι shared για τους πελάτες μου αλλά είναι δικός μου. Έχω πλήρη πρόσβαση μέσω RDP.

Τι θα μπορούσα να τρέξω;

Ευχαριστώ,
Βασίλης

Απ: Spam/Malicious Bot blocking στον IIS

dimos.homatas — Mon, 28 Feb 2011 06:43:53 GMT

vlinakis:
Καλησπέρα σε όλους,

- Σκέφτομαι να μπλοκάρω και κάποιες IP αλλά αυτές αλλάζουν συνεχώς. Μάλλον δεν έχει νόημα να κάνω κάτι τέτοιο.

Εάν φτάσει εκεί, ίσως μπορούμε να κάνουμε κάτι, εάν βέβαια μπορείς να τρέξεις exe στον server σου, αν και από ότι βλέπω μιλάς για shared, οπότε δύσκολο. Ας το αφήσουμε ως έσχατη λύση.

Spam/Malicious Bot blocking στον IIS

vlinakis — Mon, 28 Feb 2011 05:23:23 GMT

Καλησπέρα σε όλους,

Έχω ένα ερώτημα το οποίο δεν είναι αμιγώς θέμα Code Security αλλά υποθέτω ότι κάποιοι από όσους διαβάζουν ίσως έχουν κάποιες συμβουλές να μου δώσουν.

Πρόσφατα φαίνεται ότι ένας από τους shared hosting servers που έχω για να φιλοξενώ sites πελατών μου έχει γίνει δέκτης κάποιων επιθέσεων. Πρόκειται για μια δική μου εικασία η οποία βασίζεται στα στοιχεία που έχω στα χέρια μου.

Στα περισσότερα από τα sites που έχω επάνω στον server έχω έναν script-based error handling μηχανισμό ο οποίος με ειδοποιεί με email όποτε προκαλείται ένα 500-αρι error. Τις τελευταίες μέρες έχω πάρει πολλά τέτοια emails από πολλά από τα sites που έχω επάνω στον συγκεκριμένο server. Γνωρίζω σίγουρα ότι δεν πρόκειται για πραγματικά errors από legitimate users διότι έχουνε ελλειπή στεία ως προς τις συνθήκες κάτω από τις οποίες προκλήθηκε το σφάλμα. Σε πολλά από τα emails που λαμβάνω φαίνεται ως user agent ο "libwww-perl". Διαβάζοντας στο internet έπεσα πάνω σε αρκετές αναφορές σχετικά με κάποια malicious bots που κυκλοφορούν με αυτόν τον user agent.

Η ερωτήσεις μου είναι:
- Μπορώ με κάποιο τρόπο κεντρικά στον IIS (7.5) να μπλοκάρω ορισμένα bots;
- Αν όχι, τότε θα μπορούσα ίσως να το κάνω μέσω robots.txt σε κάθε ένα από τα sites ξεχωριστά;
- Σκέφτομαι να μπλοκάρω και κάποιες IP αλλά αυτές αλλάζουν συνεχώς. Μάλλον δεν έχει νόημα να κάνω κάτι τέτοιο.

Υπάρχει καμιά άλλη ιδέα/συμβουλή;

Ευχαριστώ,
Βασίλης