arrêter les attaques ZmEu avec ASP.NET MVC
récemment, mon elmah exception des journaux sont pleins de tentatives par des personnes utilisant ainsi le barrage de ZmEu logiciel de sécurité à l'encontre de mon serveur
pour ceux qui pensent “ce que l'enfer est ZmEu?” voici une explication...
“ZmEu semble être un outil de sécurité utilisé pour la découverte de failles de sécurité dans la version 2.x.x de PHPMyAdmin, un basé sur le web de base de données MySQL manager. L'outil semble provenir de quelque part en Europe de l'est. Comme ce qui semble se produire à tous les black hat outils de sécurité, il a fait son chemin à la Chine, où il a été utilisé depuis pour non stop les attaques par force brute contre les serveurs web dans le monde entier.”
Heres un lien sur cette fâcheuse attaque -> http://www.philriesch.com/articles/2010/07/getting-a-little-sick-of-zmeu/
Im en utilisant .net, de sorte qu'ils aint gonna trouve PHPMyAdmin sur mon serveur, mais le fait que mes journaux sont pleins ofZmEu les attaques de son devenir lassant.
Le lien ci-dessus fournissent une grande correction à l'aide de HTAccess, mais im en utilisant IIS7.5, pas apache.
J'ai un asp.net MVC 2 site, donc im en utilisant le mondial.asax fichier pour créer mes itinéraires
Voici le HTAccess seugestion
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} !^/path/to/your/abusefile.php
RewriteCond %{HTTP_USER_AGENT} (.*)ZmEu(.*)
RewriteRule .* http://www.yourdomain.com/path/to/your/abusefile.php [R=301,L]
</IfModule>
Ma question est-ce que je peux ajouter comme cela dans le monde.fichier ascx qui fait la même chose ?
source d'informationauteur JGilmartin
Vous devez vous connecter pour publier un commentaire.
Une alternative la réponse à mon autre ... celui en particulier s'arrête Elmah de journalisation des erreurs 404 généré par ZmEu, tout en laissant le reste de vos sites comportement inchangé. Cela peut être un peu moins visible que de retourner des messages directement aux pirates.
Vous pouvez contrôler ce genre de choses Elmah enregistre dans différentes façonsune façon est d'ajouter ce point à la Mondiale.asax
Pour cet événement à feu, vous aurez besoin de faire référence à la Elmah DLL à partir de votre projet, et ajouter un
using Elmah;
vers le haut de votre Global.asax.cs.La ligne de départ
logger.InfoFormat
suppose que vous utilisez log4net. Si pas, le remplacer par quelque chose d'autre.La ZmEu attaques ont été ennuyeux moi aussi, alors j'ai regardé dans cette. Il peut être fait avec un HttpModule.
Ajouter la classe suivante à votre projet:
puis ajoutez la ligne suivante au web.config
... et puis ajouter un adapté htm page à votre projet, il y a donc quelque part de les rediriger vers.
Notez que si vous utilisez log4net, vous pouvez commenter dans le log4net lignes dans le code pour enregistrer les occasions lorsque le filtre est activé.
Ce module a travaillé pour moi dans l'essai (quand j'envoie le droit userAgent des valeurs). Je ne l'ai pas testé sur un serveur réel encore. Mais il devrait faire l'affaire.
Bien que, comme je l'ai dit dans les commentaires ci-dessus, quelque chose me dit que le retour des erreurs 404 pourrait être moins visible réponse que de laisser les pirates savent que vous êtes au courant d'entre eux. Certains d'entre eux pourraient voir quelque chose comme cela comme un défi. Mais alors, je ne suis pas un expert sur hacker la psychologie, qui sait.
Chaque fois que je reçois un ZmEu ou phpMyAdmin ou forgotten_password je redirige la requête:
[ou de l'apnic ou arin]. J'espère que les admins à ripe.net n'aime pas le piratage.
Sur IIS 6.0, vous pouvez également essayer cette...
Ensemble de votre site web dans IIS pour utiliser les en-têtes d'hôte. Ensuite, créer un site web dans IIS, à l'aide de la même adresse IP, mais sans en-tête d'hôte définition. (J'ai marqué de la mine de "Voyous Site" parce que certains voyous oonce deliverately ensemble de son DNS pour son domaine afin de résoudre mon gouvernement populaire site. (Je ne sais pas pourquoi) de toute façon, en utilisant les en-têtes d'hôte sur plusieurs sites est une bonne pratique. Et avoir un site est défini pour le cas lorsqu'aucun en-tête d'hôte est inclus est un moyen d'attirer des visiteurs qui n'ont pas votre nom de domaine dans la requête HTTP.
Sur le site sans en-tête d'hôte, créer une page d'accueil qui renvoie un en-tête de réponse à l'état "HTTP 410 Gone". Ou vous pouvez les rediriger ailleurs.
Tous les robots qui tentent de rendre visite à votre serveur par l'adresse IP plutôt que le nom de domaine permettra de résoudre ce site et obtenez l'erreur "410 Gone".
J'ai aussi l'utilisation de Microsoft URLscan, et modifié le URLscan.fichier ini pour l'exclure de l'utilisateur angent de la chaîne, "ZmEu".
Si vous utilisez IIS 7.X vous pouvez utiliser le Filtrage de Demande de bloquer les demandes de
Analyse Des En-Têtes:
User-agent
Refuser Chaînes:
ZmEu
Pour essayer de voir s'il fonctionne lancez google Chrome avec le paramètre
--User-Agent "ZmEu"
De cette façon asp.net n'est jamais invoqué et sa vous permet d'économiser de l'UC/Mémoire..
Configuration de votre serveur correctement et ne vous inquiétez pas sur les attaquants 🙂
Tout ce qu'ils font est d'essayer quelques possibilités principales pour voir si vous avez oublié un écueil évident.
Pas de point de filtrer ce un hacker qui est assez gentil pour signer son travail pour vous.
Si vous avez un oeil de plus près à vos fichiers de log vous voyez il ya tellement de nombreux bots de faire cela tout le temps.
J'ai ajouté ce modèle dans Microsoft Module de Réécriture d'URL:
Haut mentionnées, “^$” est la regex pour une chaîne vide. Je n'autorise pas les bots pour accéder aux pages, à moins qu'ils identifient avec un user-agent, j'ai trouvé le plus souvent les seules choses que de frapper ma ces applications avec un agent utilisateur ont été les outils de sécurité allé voyous.
Je vous conseille pour bloquer les bots être très précis. Simplement à l'aide d'un mot générique comme “feu” pourrait pop positif pour “firefox”, Vous pouvez aussi ajuster la regex pour remédier à ce problème mais je l'ai trouvé beaucoup plus simple d'être plus précis et qui a l'avantage d'être plus instructif que la prochaine personne de toucher à ce paramètre.
En outre, vous verrez que j'ai une règle pour Java/1.7.0_25 dans ce cas, il est arrivé à être un bot à l'aide de cette version de java à claquer mes serveurs. Faites attention de blocage de la langue spécifique de l'utilisateur comme les agents de cela, certaines langues telles que le ColdFusion exécuter sur la JVM et l'utilisation de la langue de l'agent utilisateur et les requêtes web à localhost pour assembler des choses comme des fichiers Pdf. Jruby, Groovy ou Scala, peut faire des choses similaires, mais je n'ai pas testé.