IP 黑名单和可疑的入站和出站流量

IP 黑名单和可疑的入站和出站流量

我管理一个网络服务器,最近我们的 IP 被主机封禁了(!),因为他们收到了一封滥用通知电子邮件。特别是我们的服务器涉嫌通过 HTTP 进行垃圾邮件攻击。我们收到的滥用报告电子邮件的内容没有太多信息 - 例如,我们的服务器可能遭到攻击的 IP 地址没有包括在内 - 所以我启动了一个wireshark会话来检查可疑的TCP/HTTP 上的流量,同时尝试查找系统上可能的安全漏洞。(请注意,该机器运行的是 Debian 操作系统)。

以下是此类请求的一个例子...

Source: 89.74.188.233
Destination: 12.34.56.78  // my ip
Protocol: HTTP
Info: GET 'http://www.media.apniworld.com/image.php?type=hv' HTTP/1.0

我手动将此主机(以及一些其他主机)列入黑名单,并使用 阻止它们iptables,但我无法整天手动进行此操作...我正在寻找一种基于以下条件的自动化方法来阻止此类 IP:

  1. 统计分析、模式识别或其他基于人工智能的分析(尽管,如果存在这样的解决方案,我不太愿意相信)
  2. 公开黑名单

使用域名解析我确实发现89.74.188.233被列入了黑名单。但是其他非常可疑的 IP 93.199.112.126(例如http://www.pornstarnetwork.com/account/signin)不幸没有被列入黑名单!我想要做的是自动将我的防火墙与 DNSBL(或其他黑名单数据库)连接起来,并阻止所有流向黑名单 IP 的流量,或者以某种方式自动更新我的本地黑名单。

更新 1:我的主要问题是配置iptables自动阻止所有在公共数据库中列入黑名单的 IP,例如这个。我正在寻找一种工具,可以自动更新我的本地黑名单,添加任何列入黑名单的 IP,当然,在问题解决后将其删除(如果因为某个 IP 曾经被列入黑名单而永久阻止它,那就不好了)。我不太明白,如果不能被 iptables 使用,黑名单 Web 服务有什么用处。

答案1

我首先要确保您没有无意中成为人们用来中继邮件的 HTTP 代理。

答案2

您的机器上是否运行了任何充当 HTTP 代理的东西?如果运行了,请考虑锁定该代理。如果没有,请检查您的整个机器。除非您明确允许在服务器上运行随机代码,否则您可能正在查看一台受到感染的机器。

相关内容