所以我从一个客户的网站上清理了一些恶意的 PHP 脚本,并且我一直在监视与脚本的后续连接。当然,我发现很多 IP 都在请求这些文件。太多的尝试和黑名单和太多不同的网络块在高级别阻止。
我正在考虑将对文件的所有后续请求重定向到某种黑洞/tarpit/honeypot/坏人报告系统,但我不确定 HTTP 流量是否存在这种情况。
理想情况下,我可以将这些 IP 重定向到互联网警察,他们将受到调查和严厉的谈话,但我怀疑这样的系统是否存在,因为它可能被滥用
知道任何用于重定向恶意流量的 HTTP tarpit/黑洞吗?
信息安全
http
蜜罐
2021-08-30 04:53:13
2个回答
恐怕所有这些 IP 只不过是点击钓鱼/恶意链接的受害者。
你的客户端被黑了,恶意脚本被托管在他们的服务器上,以感染不显眼的受害者。无论您喜不喜欢,您的客户都为传播恶意软件做出了贡献。
您的下一步是仅针对这些请求提供 404 Not Found,并确保您的客户不会再次帮助传播恶意软件。如果您愿意,您可以设置一个指向执法站点的 301 或 302,或者提供一个静态页面,告诉您的访问者他们可能只是点击了网络钓鱼/恶意电子邮件链接。
根据您最初的问题,您在网络服务器上设置的任何 tarpit(例如保持 TCP 会话打开)只会比那些人更慢地降低您的服务器速度。说真的,这样做没有任何意义。
它可能是相同的工具/恶意软件,是的,它也可能是一个自动化的僵尸网络。您曾经在受感染的主机列表中,因此他们可以通过探测了解断开连接是由于消毒、WAF 阻塞还是沿途的代理...
好吧,这取决于您的网络结构。如果您控制了前端防火墙,如果您能够部署 WAF,如果您有像 varnish 这样的缓存代理......甚至 Apache mod_rewrite 也可以通过始终重定向到 404 错误页面来提供一定程度的帮助。
但是我真的不知道您可以向其报告这些访问尝试的互联网警察之类的服务。这里有没有人知道这样的事情?
其它你可能感兴趣的问题