Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Cronck en 21 Enero 2014, 17:50 pm


Título: Evitar Escaneo continuo puerto 80
Publicado por: Cronck en 21 Enero 2014, 17:50 pm
Hola a todos.

En estos ultimos 3 dias, he detectado un escaneo (o  no se que nombre darle) a mi servidor, por el puerto 80.
Me estan llegando peticiones de rutas que no estan en mi servidor, y que nunca han estado.

Como estas:

Citar
122.10.91.225 - - [19/Jan/2014:03:55:26 -0600] "GET /Article/ HTTP/1.0" 404 278 "-" "Mozilla/4.0 (compatible; MSIE 7.0; windows 5.1)"
66.249.73.229 - - [19/Jan/2014:03:55:26 -0600] "GET /Article/Print.asp?ArticleID=158029&Page=1 HTTP/1.1" 404 287 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
42.121.194.212 - - [19/Jan/2014:03:55:29 -0600] "GET /Article/world/ouzhou/Index.html HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
58.18.141.131 - - [19/Jan/2014:03:55:30 -0600] "GET /Article/ShowElite.asp HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
66.249.73.229 - - [19/Jan/2014:03:55:32 -0600] "GET /Article/china/201009/20100904235145.html HTTP/1.1" 404 310 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot-Mobile/2.1; +http://www.google.com/bot.html)"
66.249.73.229 - - [19/Jan/2014:03:55:37 -0600] "GET /Article/UploadFiles/200807/20080716151018416.jpg HTTP/1.1" 404 318 "-" "Googlebot-Image/1.0"
173.254.201.109 - - [19/Jan/2014:03:55:43 -0600] "GET /Article/china/Index.html HTTP/1.1" 404 294 "-" "Apache-HttpClient/4.1.1 (java 1.5)"
106.49.97.244 - - [19/Jan/2014:03:55:46 -0600] "GET /Article/junshi/Index.html HTTP/1.0" 404 295 "-" "Mozilla/5.0 (Windows NT 5.2; rv:14.0) Gecko/20100101 Firefox/14.0.1"
113.108.220.45 - - [19/Jan/2014:03:55:47 -0600] "GET / HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
58.64.153.141 - - [19/Jan/2014:03:55:51 -0600] "GET / HTTP/1.1" 302 - "-" "-"
218.24.109.120 - - [19/Jan/2014:03:55:52 -0600] "GET /Article/gd/201205/20120507045218_3.html HTTP/1.1" 404 309 "-" "-"
204.12.252.34 - - [19/Jan/2014:03:55:53 -0600] "GET /Article/money/jinrong/Index.html HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
204.12.252.34 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/world/dongnanya/Index.html HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
124.165.209.163 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/ShowElite.asp HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
204.12.252.34 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/taiwan/minjindang/Index.html HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
204.12.252.34 - - [19/Jan/2014:03:55:55 -0600] "GET /Article/taiwan/Index.html HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

No se como detener esas peticiones, pues vienen de direntes IP's

Llevan haciendolo por 3 dias y practicamente es 24 horas que tienen levantado ese escaneo.

Alguien que me un indicio para evitar esto?

Saludos a todos

Título: Re: Evitar Escaneo continuo puerto 80
Publicado por: Cronck en 21 Enero 2014, 18:09 pm
estuve revisando los logs de error
y encontre que el scaneo viene de este sitio:

http://www.newcenturynews.com/Article

que tiene un redirect a mi sitio.


Título: Re: Evitar Escaneo continuo puerto 80
Publicado por: el-brujo en 21 Enero 2014, 20:40 pm
Eso no puedes evitarlo, incluso en el log hay el robot de Google, mejor no lo banees xD

El error_log pues añade la opción de ver el http_referer y así habrás podido ver de dónden provienen.

Tampoco supone ningún peligro adicional, simplemente una línea más en el  error_log del Apache y poco más.

Añade un error 404 personalizado si quieres al servidor web. No es ningún ataque, ni nada dañino aparantemente.

Título: Re: Evitar Escaneo continuo puerto 80
Publicado por: engel lex en 21 Enero 2014, 22:03 pm
Coloca publicidad y redirije las peticiones a una pagina full xD

Título: Re: Evitar Escaneo continuo puerto 80
Publicado por: Cronck en 21 Enero 2014, 22:52 pm
Gracias a ambos por sus comentarios.


Título: Re: Evitar Escaneo continuo puerto 80
Publicado por: Platanito Mx en 22 Enero 2014, 18:26 pm
Si tienes detectada la ip bloqueala, pero tendrias que hacer esto con todas las IP y lo haces con IPtables si usas linux o el mod_evasive (http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz) para apache pero para este necesitas tener las estadisticas de las visitas por IP para saber qué cantidad de intentos de acceso debe bloquear la IP



Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines