Хабрахабр

[Из песочницы] Кто сканирует Интернет и существует ли Австралия

Любой, кто поднимал сайты знает, что стоит запустить веб-сервер, как на него начинают приходить запросы. Еще и DNS про него толком не знает, а в лог-файле ошибок httpd уже полно записей вроде таких:

image

Как только появилось время, я написал парсер логов веб-сервера. Вот мне стало интересно, и я решил изучить этот вопрос поглубже. Поскольку люблю наглядность, результаты поместил на карту.
И вот какая картина получилась:
image

Для получения информации использовалась бесплатная оффлайновая библиотека SxGeo, а для отображения — 2GIS API. На карте маркерами отмечены местоположения, определенные по IP адресам источников сканирования. Однако со временем(на текущий момент у меня накопилась статистика за 2 месяца) картина приобретает вполне ясные очертания. Конечно, в силу бесплатности библиотека SxGeo не обладает высокой точностью, а некоторые адреса попадают в океан.

В то же время источники сканирования практически равномерно покрывают наиболее развитые в смысле ИТ регионы мира. Наверняка какая-то часть из адресов это прокси.

Однако, как сказал бы наш любимый Михаил Сергеевич Боярский — «Тысяча чертей», что не так с Австралией?

Таковых оказалось довольно много. Кроме распределения источников сканирования мне также было интересно собрать целевые пути, которые проверяют сканеры. Ниже приведу лишь малую часть таргетов для примера:

2. var/www/html/RPC2
/var/www/html/SQLite
/var/www/html/SQLiteManager
/var/www/html/SQLiteManager-1. 4
/var/www/html/SQlite
/var/www/html/Snom
/var/www/html/Version.html
/var/www/html/Yealink
/var/www/html/\xd1\x86\xd1\x80\xd1\x89\xd1\x8b\xd1\x81\xd1\x84\xd1\x82\xd1\x8c\xd1\x83
/var/www/html/_PHPMYADMIN
/var/www/html/_pHpMyAdMiN
/var/www/html/_phpMyAdmin
/var/www/html/_phpmyadmin
/var/www/html/_query.php
/var/www/html/_whatsnew.html
/var/www/html/adm
/var/www/html/admin
/var/www/html/admin.php
/var/www/html/admin888
/var/www/html/admin_area
/var/www/html/admin_manage
/var/www/html/admin_manage_access
/var/www/html/admindb
/var/www/html/administrator
/var/www/html/administrator.php
/var/www/html/adminzone

Часто встречается игра с регистром:

/var/www/html/_PHPMYADMIN
/var/www/html/_pHpMyAdMiN
/var/www/html/_phpMyAdmin
/var/www/html/_phpmyadmin

Бывают и экзотические таргеты, которым уж точно неоткуда взяться у меня:

/var/www/html/w00tw00t.at.blackhats.romanian.anti-sec
/var/www/html/nmaplowercheck1523152976
/var/www/html/elastix_warning_authentication.php

Полный список таргетов вы можете забрать по ссылке в подвале. Система отлова сейчас работает в автоматическом режиме и значит постоянно пополняется.

Полученная нами информация, как и любая другая, может быть использована по-разному. Хорошо, но что с этим делать?

Например:

  1. При создании сайтов, особенно на основе стандартных CMS и с применением стандартных СУБД, желательно изменять стандартные имена каталогов и файлов. Не оставлять установочные директории после окончания установки. Не размещать конфигурационные файлы в корневой директории или папке с именем «configuration», «config» и т. п.
  2. Может быть блокировать на уровне iptables адреса, с которых ведется сканирование. Конечно это крайний случай, но возможность такая есть и она может быть автоматизирована.
  3. Используя словарь отловленных таргетов можно проверить структуру сайта на совпадения. для этого используется простейший скрипт.

И еще один способ использования «крутых хакеров» в своих целях это подъем посещаемости сайта. Это и шутка и нет.

Это действительно работает, если на основе словаря отловленных таргетов создать файлы на своем сайте, а внутри разместить произвольный текст и код счетчика.

У меня за 2 месяца их наловилось 275. И это шутка, потому что реально уникальных IP адресов сканеров не так и много.

Но процесс этот постоянный. Надо отметить, что с некоторых адресов сканирование наблюдалось один раз, в то время как с других оно выполняется ежедневно. Видимо не очень большую раз никто с этим не борется. Интересно какую долю трафика в Сети занимает скан-трафик.

С другой стороны, раз сканеры работают, значит они кому-то полезны.

Так что будьте бдительны.

Спасибо за внимание.

Список источников:

  1. Библиотека SxGeo
  2. 2gis API
  3. Словарь отловленных таргетов
  4. Карта источников сканирования
Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть