Moja witryna została niedawno zaatakowana. Co ja robię?

To dla mnie pierwszy raz. Jedna z witryn, które prowadzę, została niedawno zaatakowana. Wcale nie inteligentny atak - czysta brutalna siła - trafił każdą stronę i każdą stronę bez strony z każdym możliwym rozszerzeniem. Wysłano z danymi śmieci do każdego formularza i próbowałem opublikować również w losowych adresach URL. Wszystkie, 16000 wniosków w ciągu godziny.

Co powinienem zrobić, aby zapobiec / ostrzegać tego rodzaju zachowania? Czy istnieje sposób ograniczenia żądania / godziny dla danego adresu IP / klienta?

Czy jest miejsce, do którego powinienem zgłaszać użytkownika? Wygląda na to, że pochodzą z Chin i zostawili coś, co wydaje się być prawidłowym adresem e-mail.

Jakiego oprogramowania używasz na swojej stronie? Czy te pola komentarzy są zbudowane na zamówienie, czy jakiś popularny pakiet oprogramowania? Najpopularniejsze pakiety mają wtyczki, które pomagają pokonać (znane) spamboty. Jeśli jest zbudowany na zamówienie, dodanie CAPTCHA zdecydowanie pomogłoby ograniczyć spam.

Ponadto, jeśli znasz adres IP „użytkownika”, zablokuj go ze swojej witryny (jeśli masz taką możliwość) i zgłoś go swojemu hostowi internetowemu (zakładając, że jesteś hostowany przez zdalną firmę). Host będzie (czytaj: powinien) być zadowolony aby zablokować 16 000 dodatkowych żądań. Zwłaszcza jeśli korzystasz z hosta współdzielonego, ponieważ może to wpłynąć na wydajność innych klientów.

najpierw spróbuj dowiedzieć się, co zrobili. Czy udało im się wstrzyknąć kod lub SQL? Czy zmodyfikowali twoją bazę danych? Czy mają dostęp do danych, do których nie powinni mieć dostępu?

Twoje opisy brzmią tak, jakby miały tylko kilka przypadkowych „ataków” bez wyrządzenia prawdziwej szkody. W takim przypadku spróbuj ustawić obronę przed atakami, przed którymi jeszcze nie byłeś zabezpieczony. Uzbrój więc swoje forum w kilka captchas.

Zapobiegaj: captchas może pomóc. Istnieją również narzędzia, które sprawdzają, czy Twoja witryna internetowa ma problemy z bezpieczeństwem. Możesz chcieć użyć takiego narzędzia.

Alert / Limit: zależy od środowiska i hosta. Zawsze możesz dodać kontrolę adresu IP do swoich stron i po prostu zwrócić odmowę dostępu dla określonych adresów IP, ale a) Myślę, że adres IP nie zostanie naprawiony, a następnym razem ktoś niewinny dostanie adres IP ib) czy często za nim stoi kilku użytkowników jeden adres IP (proxy firmy). Więc blokowanie adresu IP nie wydaje się dobrym pomysłem.

Jeśli korzystasz z systemu Linux, „iptables” daje dużą swobodę w wyborze polityki ograniczania nowych połączeń z adresów IP lub zakresów adresów IP. Próbować:

iptables -A WEJŚCIE -p tcp - port 80 -m stan - stan NOWY -m limit - limit 120 / min -j AKCEPTUJ
iptables -A WEJŚCIE -p tcp --port 80 -j DROP

Myślę, że zablokowanie adresu IP to dobry pomysł. Captcha może zapobiegać spamowi, ale 16000 żądań na godzinę znacznie zwiększa obciążenie serwera.

Jeśli atak pochodzi z ograniczonego zakresu adresów IP, po prostu zablokowałbym wszystkie z nich w iptables. Następnie odblokuj je tydzień później.

Jeśli jeszcze go nie masz, upewnij się, że witryna rejestruje adresy IP. Możesz zrobić bezpłatny WHOIS IP na stronie www.dnstuff.com, aby zobaczyć, skąd IANA sądzi, że adres IP pochodzi. W wielu przypadkach zapewnia również rejestratora lub dostawcę usług internetowych dla adresu IP i możesz skontaktować się z nimi bezpośrednio, aby to zgłosić.

Oczywiście możesz tymczasowo zablokować adres IP, jedynym problemem jest to, że tak wielu dostawców usług internetowych używa adresów DHCP, że nawet jeśli atakujący ma dzisiaj ten adres IP, jutro może być inny, a co ważniejsze, legalny użytkownik może uzyskać zablokowane IP.

Gdzie twoja strona jest hostowana? Jeśli atak miał miejsce w pewnym okresie czasu, powiedzmy 10 minut, powinien on wywołać gdzieś alarm DDOS, ponieważ normalna objętość witryny prawdopodobnie nie ma tak wielu żądań w tak krótkim czasie. Urządzenia takie jak Barracuda są zaprojektowane tak, aby zasadniczo blokować te żądania, gdy przychodzą zbyt szybko. Usługi IIS mają również podobną funkcję, jeśli jeśli jednocześnie pojawi się zbyt wiele żądań, będzie myśleć, że jest atakowany, aw wielu przypadkach zrzuci połączenia. Wiele instalacji wyszukiwania SharePoint ma ten problem, ponieważ indeksator wyszukiwania bardzo szybko żąda wielu rzeczy.

Mam nadzieję, że to trochę pomaga lub daje pewne pomysły, na co patrzeć. Możesz dodać CAPTCHA i inne rzeczy do strony, ale ostatecznie takie ataki sprowadzają się do TCP / IP i urządzeń, aby rozpoznać atak i zapobiec lub zabić go, twoja strona może tylko tyle zrobić, aby się zabezpieczyć.