arrêter les attaques ZmEu avec ASP.NET MVC

récemment, mon elmah exception des journaux sont pleins de tentatives par des personnes utilisant ainsi le barrage de ZmEu logiciel de sécurité à l'encontre de mon serveur

pour ceux qui pensent “ce que l'enfer est ZmEu?” voici une explication...

“ZmEu semble être un outil de sécurité utilisé pour la découverte de failles de sécurité dans la version 2.x.x de PHPMyAdmin, un basé sur le web de base de données MySQL manager. L'outil semble provenir de quelque part en Europe de l'est. Comme ce qui semble se produire à tous les black hat outils de sécurité, il a fait son chemin à la Chine, où il a été utilisé depuis pour non stop les attaques par force brute contre les serveurs web dans le monde entier.”

Heres un lien sur cette fâcheuse attaque -> http://www.philriesch.com/articles/2010/07/getting-a-little-sick-of-zmeu/

Im en utilisant .net, de sorte qu'ils aint gonna trouve PHPMyAdmin sur mon serveur, mais le fait que mes journaux sont pleins ofZmEu les attaques de son devenir lassant.

Le lien ci-dessus fournissent une grande correction à l'aide de HTAccess, mais im en utilisant IIS7.5, pas apache.
J'ai un asp.net MVC 2 site, donc im en utilisant le mondial.asax fichier pour créer mes itinéraires

Voici le HTAccess seugestion

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} !^/path/to/your/abusefile.php
RewriteCond %{HTTP_USER_AGENT} (.*)ZmEu(.*)
RewriteRule .* http://www.yourdomain.com/path/to/your/abusefile.php [R=301,L]
</IfModule>

Ma question est-ce que je peux ajouter comme cela dans le monde.fichier ascx qui fait la même chose ?

source d'informationauteur JGilmartin

Une alternative la réponse à mon autre ... celui en particulier s'arrête Elmah de journalisation des erreurs 404 généré par ZmEu, tout en laissant le reste de vos sites comportement inchangé. Cela peut être un peu moins visible que de retourner des messages directement aux pirates.

Vous pouvez contrôler ce genre de choses Elmah enregistre dans différentes façonsune façon est d'ajouter ce point à la Mondiale.asax

void ErrorLog_Filtering(object sender, ExceptionFilterEventArgs e)
{
    if (e.Exception.GetBaseException() is HttpException)
    {
        HttpException httpEx = (HttpException)e.Exception.GetBaseException();
        if (httpEx.GetHttpCode() == 404)
        {
            if (Request.UserAgent.Contains("ZmEu"))
            {
                //stop Elmah from logging it
                e.Dismiss();
                //log it somewhere else
                logger.InfoFormat("ZmEu request detected from IP {0} at address {1}", Request.UserHostAddress, Request.Url);
            }           
        }
    }
}

Pour cet événement à feu, vous aurez besoin de faire référence à la Elmah DLL à partir de votre projet, et ajouter un using Elmah; vers le haut de votre Global.asax.cs.

La ligne de départ logger.InfoFormat suppose que vous utilisez log4net. Si pas, le remplacer par quelque chose d'autre.

La ZmEu attaques ont été ennuyeux moi aussi, alors j'ai regardé dans cette. Il peut être fait avec un HttpModule.

Ajouter la classe suivante à votre projet:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Security.Principal;
//using log4net;

namespace YourProject
{
    public class UserAgentBlockModule : IHttpModule
    {

        //private static readonly ILog logger = LogManager.GetLogger(typeof(UserAgentBlockModule));

        public void Init(HttpApplication context)
        {
            context.BeginRequest += new EventHandler(context_BeginRequest);
        }

        void context_BeginRequest(object sender, EventArgs e)
        {
            HttpApplication application = (HttpApplication)sender;
            HttpRequest request = application.Request;
            if (request.UserAgent.Contains("ZmEu"))
            {
                //logger.InfoFormat("ZmEu attack detected from IP {0}, aiming for url {1}", request.UserHostAddress, request.Url.ToString());
                HttpContext.Current.Server.Transfer("RickRoll.htm");
            }

        }

        public void Dispose()
        {
            //nothing to dispose

        }

    }
}

puis ajoutez la ligne suivante au web.config

<httpModules>
    ...
   <add name="UserAgentBlockFilter" type="YourProject.UserAgentBlockModule, YourProject" />
</httpModules>

... et puis ajouter un adapté htm page à votre projet, il y a donc quelque part de les rediriger vers.

Notez que si vous utilisez log4net, vous pouvez commenter dans le log4net lignes dans le code pour enregistrer les occasions lorsque le filtre est activé.

Ce module a travaillé pour moi dans l'essai (quand j'envoie le droit userAgent des valeurs). Je ne l'ai pas testé sur un serveur réel encore. Mais il devrait faire l'affaire.

Bien que, comme je l'ai dit dans les commentaires ci-dessus, quelque chose me dit que le retour des erreurs 404 pourrait être moins visible réponse que de laisser les pirates savent que vous êtes au courant d'entre eux. Certains d'entre eux pourraient voir quelque chose comme cela comme un défi. Mais alors, je ne suis pas un expert sur hacker la psychologie, qui sait.

3

Chaque fois que je reçois un ZmEu ou phpMyAdmin ou forgotten_password je redirige la requête:
```
<meta http-equiv='refresh' content='0;url=http://www.ripe.net$uri' />
```
[ou de l'apnic ou arin]. J'espère que les admins à ripe.net n'aime pas le piratage.
1

Sur IIS 6.0, vous pouvez également essayer cette...

Ensemble de votre site web dans IIS pour utiliser les en-têtes d'hôte. Ensuite, créer un site web dans IIS, à l'aide de la même adresse IP, mais sans en-tête d'hôte définition. (J'ai marqué de la mine de "Voyous Site" parce que certains voyous oonce deliverately ensemble de son DNS pour son domaine afin de résoudre mon gouvernement populaire site. (Je ne sais pas pourquoi) de toute façon, en utilisant les en-têtes d'hôte sur plusieurs sites est une bonne pratique. Et avoir un site est défini pour le cas lorsqu'aucun en-tête d'hôte est inclus est un moyen d'attirer des visiteurs qui n'ont pas votre nom de domaine dans la requête HTTP.

Sur le site sans en-tête d'hôte, créer une page d'accueil qui renvoie un en-tête de réponse à l'état "HTTP 410 Gone". Ou vous pouvez les rediriger ailleurs.

Tous les robots qui tentent de rendre visite à votre serveur par l'adresse IP plutôt que le nom de domaine permettra de résoudre ce site et obtenez l'erreur "410 Gone".

J'ai aussi l'utilisation de Microsoft URLscan, et modifié le URLscan.fichier ini pour l'exclure de l'utilisateur angent de la chaîne, "ZmEu".
1

Si vous utilisez IIS 7.X vous pouvez utiliser le Filtrage de Demande de bloquer les demandes de

Analyse Des En-Têtes: User-agent

Refuser Chaînes: ZmEu

Pour essayer de voir s'il fonctionne lancez google Chrome avec le paramètre --User-Agent "ZmEu"

De cette façon asp.net n'est jamais invoqué et sa vous permet d'économiser de l'UC/Mémoire..
0

Configuration de votre serveur correctement et ne vous inquiétez pas sur les attaquants 🙂
Tout ce qu'ils font est d'essayer quelques possibilités principales pour voir si vous avez oublié un écueil évident.
Pas de point de filtrer ce un hacker qui est assez gentil pour signer son travail pour vous.
Si vous avez un oeil de plus près à vos fichiers de log vous voyez il ya tellement de nombreux bots de faire cela tout le temps.

J'ai ajouté ce modèle dans Microsoft Module de Réécriture d'URL:

arrêter les attaques ZmEu avec ASP.NET MVC

^$|EasouSpider|Add Catalog|PaperLiBot|Spiceworks|ZumBot|RU_Bot|Wget|Java/1.7.0_25|Slurp|FunWebProducts|80legs|Aboundex|AcoiRobot|Acoon Robot|AhrefsBot|aihit|AlkalineBOT|AnzwersCrawl|Arachnoidea|ArchitextSpider|archive|Autonomy Spider|Baiduspider|BecomeBot|benderthewebrobot|BlackWidow|Bork-edition|Bot mailto:craftbot@yahoo.com|botje|catchbot|changedetection|Charlotte|ChinaClaw|commoncrawl|ConveraCrawler|Covario|crawler|curl|Custo|data mining development project|DigExt|DISCo|discobot|discoveryengine|DOC|DoCoMo|DotBot|Download Demon|Download Ninja|eCatch|EirGrabber|EmailSiphon|EmailWolf|eurobot|Exabot|Express WebPictures|ExtractorPro|EyeNetIE|Ezooms|Fetch|Fetch API|filterdb|findfiles|findlinks|FlashGet|flightdeckreports|FollowSite Bot|Gaisbot|genieBot|GetRight|GetWeb!|gigablast|Gigabot|Go-Ahead-Got-It|Go!Zilla|GrabNet|Grafula|GT::WWW|hailoo|heritrix|HMView|houxou|HTTP::Lite|HTTrack|ia_archiver|IBM EVV|id-search|IDBot|Image Stripper|Image Sucker|Indy Library|InterGET|Internet Ninja|internetmemory|ISC Systems iRc Search 2.1|JetCar|JOC Web Spider|k2spider|larbin|larbin|LeechFTP|libghttp|libwww|libwww-perl|linko|LinkWalker|lwp-trivial|Mass Downloader|metadatalabs|MFC_Tear_Sample|Microsoft URL Control|MIDown tool|Missigua|Missigua Locator|Mister PiX|MJ12bot|MOREnet|MSIECrawler|msnbot|naver|Navroad|NearSite|Net Vampire|NetAnts|NetSpider|NetZIP|NextGenSearchBot|NPBot|Nutch|Octopus|Offline Explorer|Offline Navigator|omni-explorer|PageGrabber|panscient|panscient.com|Papa Foto|pavuk|pcBrowser|PECL::HTTP|PHP/|PHPCrawl|picsearch|pipl|pmoz|PredictYourBabySearchToolbar|RealDownload|Referrer Karma|ReGet|reverseget|rogerbot|ScoutJet|SearchBot|seexie|seoprofiler|Servage Robot|SeznamBot|shopwiki|sindice|sistrix|SiteSnagger|SiteSnagger|smart.apnoti.com|SmartDownload|Snoopy|Sosospider|spbot|suggybot|SuperBot|SuperHTTP|SuperPagesUrlVerifyBot|Surfbot|SurveyBot|SurveyBot|swebot|Synapse|Tagoobot|tAkeOut|Teleport|Teleport Pro|TeleportPro|TweetmemeBot|TwengaBot|twiceler|UbiCrawler|uptimerobot|URI::Fetch|urllib|User-Agent|VoidEYE|VoilaBot|WBSearchBot|Web Image Collector|Web Sucker|WebAuto|WebCopier|WebCopier|WebFetch|WebGo IS|WebLeacher|WebReaper|WebSauger|Website eXtractor|Website Quester|WebStripper|WebStripper|WebWhacker|WebZIP|WebZIP|Wells Search II|WEP Search|Widow|winHTTP|WWWOFFLE|Xaldon WebSpider|Xenu|yacybot|yandex|YandexBot|YandexImages|yBot|YesupBot|YodaoBot|yolinkBot|youdao|Zao|Zealbot|Zeus|ZyBORG|Zmeu

Haut mentionnées, “^$” est la regex pour une chaîne vide. Je n'autorise pas les bots pour accéder aux pages, à moins qu'ils identifient avec un user-agent, j'ai trouvé le plus souvent les seules choses que de frapper ma ces applications avec un agent utilisateur ont été les outils de sécurité allé voyous.

Je vous conseille pour bloquer les bots être très précis. Simplement à l'aide d'un mot générique comme “feu” pourrait pop positif pour “firefox”, Vous pouvez aussi ajuster la regex pour remédier à ce problème mais je l'ai trouvé beaucoup plus simple d'être plus précis et qui a l'avantage d'être plus instructif que la prochaine personne de toucher à ce paramètre.

En outre, vous verrez que j'ai une règle pour Java/1.7.0_25 dans ce cas, il est arrivé à être un bot à l'aide de cette version de java à claquer mes serveurs. Faites attention de blocage de la langue spécifique de l'utilisateur comme les agents de cela, certaines langues telles que le ColdFusion exécuter sur la JVM et l'utilisation de la langue de l'agent utilisateur et les requêtes web à localhost pour assembler des choses comme des fichiers Pdf. Jruby, Groovy ou Scala, peut faire des choses similaires, mais je n'ai pas testé.

Vous devez vous connecter pour publier un commentaire.