追蹤黑客：找出誰在攻擊您的服務(wù)器

2013-10-26 21:24:28 大云網(wǎng)　點(diǎn)擊量：評論 (0)

如果您的企業(yè)運(yùn)行著一臺公共的開放SSH訪問的服務(wù)器，并且您曾經(jīng)看過認(rèn)證記錄，您會注意到有很多看似隨機(jī)的登錄嘗試。除非您將允許訪問的SSHIP地址源嚴(yán)格限制在特定的列表范圍內(nèi)，要不然，互聯(lián)網(wǎng)上的任何人都可以嘗試登錄您的服務(wù)器，大量的個(gè)人運(yùn)行腳本都會這樣做。最重要的是，智能的安全將盡量減少這種威脅的存在，但讓我們來看看這些所謂的“隨機(jī)的登錄嘗試”仍然是相當(dāng)有趣的。

　　幾周前，我開始分析denyhosts創(chuàng)建的日志，這是一款*nix工具，可以查看無效的登錄嘗試，并在超過事前設(shè)置的失敗登錄次數(shù)后切斷相關(guān)IP地址源的訪問。這是一款很好的工具，將幫助您大大降低您的服務(wù)器上現(xiàn)有的隨機(jī)登錄。如果您尚未在您的服務(wù)器上安裝denyhosts，那么，您現(xiàn)在應(yīng)該安裝了，然后再回來看本文余下的部分。

　　我開始以一種半科學(xué)的方式收集和分析denyhosts的數(shù)據(jù)。我所查看的是托管著美國和歐洲的6家不同的網(wǎng)絡(luò)提供商，并對每一個(gè)試圖訪問的IP進(jìn)行分類的主機(jī)。當(dāng)同一IP地址或多個(gè)IP地址10次登錄嘗試失敗后，Denyhosts將切斷這些IP地址的訪問。從而也就限制了我所能夠收集到的IP地址的數(shù)量。這一結(jié)果可能并不符合我所考慮的一個(gè)詳盡的研究項(xiàng)目所需的數(shù)據(jù)量，但對我而言，研究這些IP地址來源也是非常有趣的。

　　兩臺被監(jiān)控的主機(jī)在同一公共IP子網(wǎng)。其中一臺主機(jī)托管著數(shù)量可觀的域名和網(wǎng)站、一個(gè)較小數(shù)域的電子郵件、以及用于注冊的DNS服務(wù)器。另一臺主機(jī)幾乎沒有托管什么，但安裝著防火墻并運(yùn)行著一些小的服務(wù)。您可能認(rèn)為較為繁忙的第一臺服務(wù)器會比另一臺遭遇更多的隨機(jī)登錄嘗試，畢竟，其承載了更多的服務(wù)。我的意思是，對于Web服務(wù)器的攻擊其實(shí)與Web服務(wù)器本身一樣古老。

　　結(jié)果正好相反。在為期一周的時(shí)間內(nèi)，第一臺較為繁忙的服務(wù)器封鎖了47個(gè)IP地址，而第二臺服務(wù)器封鎖的IT數(shù)量是第一臺的近兩倍，86個(gè)IP地址。我只能猜測，因?yàn)榈诙_服務(wù)器安裝了防火墻和網(wǎng)關(guān)，所以其IP地址能夠被互聯(lián)網(wǎng)上大量的網(wǎng)站和服務(wù)器看到，這導(dǎo)致了其被添加到pingback的名單，以作進(jìn)一步審閱。而不像Web服務(wù)器，重點(diǎn)關(guān)注的是邊緣網(wǎng)關(guān)。我想這是有一定的道理的：如果您能進(jìn)入網(wǎng)關(guān)，那么有可能獲得比一臺Web服務(wù)器更多的東西。

　　但也許不是。所以嘗試在托管服務(wù)提供商的服務(wù)器進(jìn)行注冊的IP中，針對每一個(gè)獨(dú)立的注冊嘗試，系統(tǒng)均會呈現(xiàn)出一種奇怪的類似號碼（介于115～121之間）。這些都是運(yùn)行在世界各地的服務(wù)器托管設(shè)施，利用不同的虛擬主機(jī)服務(wù)提供商，屬于完全不同的子網(wǎng)，彼此之間沒有關(guān)系。那些網(wǎng)段被廣泛分配到托管服務(wù)提供商，所以這些注冊嘗試顯然是針對服務(wù)器的，而不是網(wǎng)關(guān)。

　　正如您可能想象的，這些請求來自世界各地，從安卡拉到墨爾本，從烏克蘭到薩拉索塔，然后再將其請求返回。這些試圖訪問服務(wù)器的系統(tǒng)涉及了相當(dāng)多的用戶名。有服務(wù)器顯示有超過600個(gè)獨(dú)特的用戶名企圖登錄該服務(wù)器的系統(tǒng)。一些被拒絕的登錄的用戶使用的是看似隨機(jī)的用戶名，甚至字符的字符串，而其他的知識簡單的按照字母順序來嘗試，從字母“a”開始，有的IP在被封鎖之前已經(jīng)試到“aaad”了。

　　這種隨意性質(zhì)的實(shí)驗(yàn)在于，我所用的生產(chǎn)服務(wù)器是被保護(hù)免受這些類型的攻擊的服務(wù)器。如果我有相當(dāng)?shù)臅r(shí)間和意愿，在全世界范圍內(nèi)采用幾十個(gè)VPS，那么，肯定會帶來更好更完整的數(shù)據(jù)。

　　事實(shí)是，不斷的有腳本從全球各地的SSH端口流入，試圖克服重重困難，以便登錄到服務(wù)器。許多腳本是基于Linux的應(yīng)用程序，被默認(rèn)設(shè)置為缺省值，因此使用已知的登錄。一些人正在尋找因安裝軟件所造成的安全漏洞，提供有效的shell命令行界面和默認(rèn)密碼創(chuàng)建用戶。

　　但是，這肯定不是他們正在尋找的全部。在過去一周，我仔細(xì)分析了一整套顯示一個(gè)瘋狂嘗試登錄IP的威脅，該計(jì)算過程就相當(dāng)于試圖用滿滿一箱子的鑰匙來開一扇門。但偶爾，其中的腳本也會工作，這種突如其來的威脅是非常真實(shí)的。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊