我有一个Tomcat webapp,它针对它收到的每个请求的URL进行大量处理。他们中的大多数都是完美的,但我开始看到一些明显无力的黑客攻击事件(例如对cgi-bin,wp-admin等的引用)。由于某些原因,我也注意到用户代理中有一些奇怪的JS(看起来像是一个奇怪的地方)。
我可以很容易地检测到这一点,然后我返回一个带有字符串的400,说明检测到黑客并且正在记录您的IP地址。我猜测没有人看到我的信息。
无论如何,我想知道是否还有其他事情可以做。 400是正确的代码发回?我也一直在对我得到的IP地址进行一些反向查找。大多数都可追溯到东欧的地方,但我也看到一些来自亚马逊AWS。
所有这些都是实时发生的,所以如果有某种API要求提醒某人(AWS,CERT,?????),我会很乐意这样做。
有没有人对我们如何举报这样的事情以及是否值得这样做有任何想法?
答案 0 :(得分:0)
您可以针对AWS采取的一项自动操作是让您的代码在服务AWS安全组中创建新的排除规则,并在给定的时间内排除相关IP地址。如果您看到来自AWS关联IP地址的定期黑客攻击尝试,您可以使用位于https://aws.amazon.com/forms/report-abuse的表单报告EC2滥用(很可能是正在使用的服务)。值得注意的是,由于AWS使用验证码,您无法自动执行此过程。
如果是helloV建议的受损EC2服务,则在AWS与他们联系并告知他们之前,帐户所有者可能不会意识到该问题。如果它是故意用作黑客启动节点的帐户,那么AWS将能够检查网络流量日志,识别相关流量,并采取措施关闭该帐户。
关于我在安全组级别阻止IP地址的评论,我建议不要超过24小时的阻止,因为IP地址会在全世界不断地重新分配给新用户,而你要做的最后一件事就是限制作为先前用户的新服务用户已从IP地址入侵您的系统。此外,在安全组级别阻止IP将导致连接被拒绝,并且无法自定义显示的错误消息。