私のサイトは最近攻撃されました。私は何をしますか?

10

これは私にとって初めてです。私が運営しているサイトの1つが最近攻撃されました。まったくインテリジェントな攻撃ではありません-純粋なブルートフォース-すべてのページとすべての非ページを、あらゆる拡張機能で攻撃できます。すべてのフォームにゴミデータを投稿し、ランダムなURLにも投稿しようとしました。すべてのtod、1時間で16000リクエスト。

この種の動作を防止/警告するにはどうすればよいですか?特定のIP /クライアントのリクエスト/時間を制限する方法はありますか?

ユーザーに報告すべき場所はありますか?彼らは中国から来たようで、有効な電子メールのように見えます。

security  hacking 
クリショマー
ソース
@Luke-これは、実際には構成とコーディングのプラクティスの混合です。
それらがどこから来たのか、そして彼らからあなたに与えられた電子メールは、役に立つことはなさそうです... :)(serverfaultへの移動も投票してください。幸運を祈ります!)
TJクロウダー

回答:

4

サイトではどのような種類のソフトウェアを実行していますか?これらのコメントフィールドはカスタムビルドですか、それとも人気のあるソフトウェアパッケージですか?最も人気のあるパッケージには、(既知の)スパムボットを倒すのに役立つプラグインがあります。カスタムビルドの場合は、CAPTCHAを追加するとスパムを減らすのに役立ちます。

さらに、「ユーザーの」IPがわかっている場合は、サイトからブロックし(その能力がある場合)、それをWebホストに報告します(リモートの会社によってホストされている場合)。ホストは(読み取り:する必要があります) 16,000の追加リクエストをブロックします。特に共有ホストを使用している場合は、他の顧客のパフォーマンスに影響を与える可能性があります。

ロビー
ソース
1

まず、彼らが何をしたかを調べてみてください。彼らはなんとかコードまたはSQLを注入できましたか?彼らはあなたのDBを変更しましたか?これは、彼らがアクセスすべきではないデータへのアクセスを得るのですか?

あなたの説明は、彼らが実際に害を及ぼすことなく、いくつかのランダムな「攻撃」だけをしたように聞こえます。その場合は、まだ保護されていない場合に、攻撃に対する防御を設定してみてください。フォーラムをキャプチャしてください。

防止:キャプチャが役立ちます。いくつかのセキュリティ問題についてウェブサイトを再度チェックするツールもあります。このようなツールを使用したい場合があります。

警告/制限:環境とホスティング業者によって異なります。いつでもページにIPチェックを追加して、特定のIPに対して拒否されたアクセスを返すことができますが、a)IPは修正されず、次回は無実の誰かがIPを取得し、b)複数のユーザーが背後にいることが多い1つのIP(会社のプロキシ)。したがって、IPをブロックすることは良い考えではないようです。

rdmueller
ソース
1

Linuxを使用している場合、「iptables」を使用すると、IPアドレスまたはIPアドレス範囲からの新しい接続を調整するためのポリシーを自由に選択できます。試してください:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 /分-j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
チャールズ・スチュワート
ソース
これは素晴らしいアイデアだと思います。間違いなくこれを試してみます。
chrishomer
0

IPをブロックするのは良い考えだと思います。Captchaはスパムを防ぐかもしれませんが、1時間あたり16000リクエストはサーバーの負荷を大幅に増加させます。

攻撃が限られた範囲のIPから発生した場合、それらすべてをiptablesで単にブロックするだけです。その後、1週間後にそれらのブロックを解除します。

ラムク
ソース
0

まだ持っていない場合は、サイトがIPを記録していることを確認してください。www.dnstuff.comで無料のIP WHOISを実行して、IANAがIPアドレスの発信元を認識している場所を確認できます。多くの場合、IPアドレスのレジストラまたはISPも提供しており、それらに直接連絡して報告することができます。

明らかに、一時的にIPアドレスをブロックできますが、唯一の問題は、多くのISPがDHCPアドレスを使用していることです。攻撃者が現在そのIPを持っている場合でも、明日は異なる可能性があり、さらに重要なことに、正当なユーザーがブロックされたIPを取得する可能性があります。

あなたのサイトはどこでホストされていますか?攻撃が一定の時間内、たとえば10分以内に発生した場合、サイトの通常のボリュームはおそらくその短い時間内にそれほど多くの要求ではないため、どこかにDDOSアラームがトリガーされているはずです。Barracudaのようなデバイスは、要求が非常に速く入ってくると、それらの要求を本質的にブロックするように設計されています。IISにも同様の機能があり、同時に到着する要求が多すぎると、攻撃されていると見なされ、多くの場合、接続がダンプされます。検索インデクサーが多くのものを非常に迅速に要求するため、多くのSharePoint検索インストールにはこの問題があります。

うまくいけば、これが少し役立つか、何を見ればよいかについていくつかのアイデアが得られます。CAPTCHAやその他のものをサイトに追加できますが、最終的には、このような攻撃はTCP / IPとデバイスにまで及んで攻撃を認識し、攻撃を防止または強制終了します。

ブレント・パブスト
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.