Trang web của tôi gần đây đã bị tấn công. Tôi làm gì?

Đây là lần đầu tiên đối với tôi. Một trong những trang web tôi chạy gần đây đã bị tấn công. Hoàn toàn không phải là một cuộc tấn công thông minh - lực lượng vũ phu thuần túy - đánh vào mọi trang và mọi trang không phải với mọi tiện ích mở rộng có thể. Đăng với dữ liệu rác đến mọi hình thức và cũng cố gắng đăng lên một số url ngẫu nhiên. Tất cả tod, 16000 yêu cầu trong một giờ.

Tôi nên làm gì để ngăn chặn / cảnh báo loại hành vi này? Có cách nào để giới hạn yêu cầu / giờ cho một ip / client nhất định không?

Có nơi nào tôi nên báo cáo người dùng không? Họ dường như đến từ Trung Quốc và đã để lại những gì có vẻ như là một email hợp lệ.

Loại phần mềm nào bạn đang chạy trên trang web của bạn? Là các trường nhận xét tùy chỉnh được xây dựng, hoặc một số gói phần mềm phổ biến? Hầu hết các gói phổ biến đều có plugin để giúp đánh bại (được biết) spam bots. Nếu được tùy chỉnh, việc thêm CAPTCHA chắc chắn sẽ giúp giảm spam.

Hơn nữa, nếu bạn biết IP của "người dùng", hãy chặn nó khỏi trang web của bạn (nếu bạn có khả năng đó) và báo cáo nó với webhost của bạn (giả sử bạn được lưu trữ bởi một công ty từ xa.) Máy chủ của bạn sẽ (đọc: nên) để chặn 16.000 yêu cầu thêm. Đặc biệt nếu bạn đang ở trên một máy chủ được chia sẻ, vì nó có thể ảnh hưởng đến hiệu suất của các khách hàng khác của họ.

đầu tiên, cố gắng tìm hiểu những gì họ đã làm. Họ đã quản lý để tiêm mã hoặc SQL? Họ đã sửa đổi DB của bạn? Điều này họ có quyền truy cập vào dữ liệu mà họ không nên truy cập?

Mô tả của bạn có vẻ như họ chỉ thực hiện một số "cuộc tấn công" ngẫu nhiên mà không gây hại thực sự. Trong trường hợp đó, hãy cố gắng thiết lập hệ thống phòng thủ cho những cuộc tấn công mà bạn chưa bảo mật. Vì vậy, cánh tay diễn đàn của bạn với một số captcha.

Ngăn chặn: captchas có thể giúp đỡ. Ngoài ra còn có các công cụ kiểm tra trang web của bạn một số vấn đề bảo mật. Bạn có thể muốn sử dụng một công cụ như vậy.

Thông báo / Giới hạn: phụ thuộc vào môi trường và máy bay của bạn. Bạn luôn có thể thêm kiểm tra IP vào các trang của mình và chỉ cần trả lại quyền truy cập bị từ chối cho các IP cụ thể, nhưng a) Tôi đoán IP sẽ không được sửa và lần sau, ai đó vô tội sẽ nhận được IP và b) thường có một vài người dùng phía sau một IP (proxy công ty). Vì vậy, chặn một IP dường như không phải là một ý tưởng tốt.

Nếu bạn đang sử dụng linux, 'iptables' cho phép bạn tự do tuyệt vời trong việc chọn chính sách điều chỉnh các kết nối mới từ địa chỉ IP hoặc dải địa chỉ IP. Thử:

iptables -A INPUT -p tcp --dport 80 -m state --state MỚI -m giới hạn --limit 120 / phút -j CHẤP NHẬN
iptables -A INPUT -p tcp --dport 80 -j DROP

Tôi nghĩ rằng chặn IP là một ý tưởng tốt. Captcha có thể ngăn chặn thư rác nhưng 16000 yêu cầu mỗi giờ tăng tải máy chủ rất nhiều.

Nếu cuộc tấn công bắt nguồn từ một phạm vi IP giới hạn thì tôi chỉ đơn giản là chặn tất cả chúng trong iptables. Sau đó bỏ chặn họ một tuần sau đó.

Nếu bạn chưa có nó, hãy đảm bảo rằng trang web của bạn đang đăng nhập IP. Bạn có thể thực hiện IPISIS miễn phí tại www.dn ware.com để xem IANA nghĩ Địa chỉ IP bắt nguồn từ đâu. Trong nhiều trường hợp, nó cũng cung cấp công ty đăng ký hoặc ISP cho Địa chỉ IP và bạn có thể liên hệ trực tiếp với họ để báo cáo.

Rõ ràng là bạn có thể tạm thời chặn Địa chỉ IP, vấn đề duy nhất là rất nhiều ISP sử dụng địa chỉ DHCP mà mặc dù kẻ tấn công có IP đó ngày hôm nay có thể khác ngày mai và quan trọng hơn là người dùng hợp pháp có thể bị IP chặn.

Trang web của bạn được lưu trữ ở đâu? Nếu cuộc tấn công diễn ra trong một khoảng thời gian, giả sử 10 phút, nó sẽ kích hoạt báo động DDOS ở đâu đó vì khối lượng bình thường của trang web có thể không có nhiều yêu cầu trong khoảng thời gian ngắn đó. Các thiết bị như Barracuda thực hiện được thiết kế để chặn các yêu cầu đó khi chúng đến quá nhanh. IIS cũng có một tính năng tương tự khi có quá nhiều yêu cầu đến cùng một lúc nó sẽ nghĩ rằng nó đang bị tấn công và trong nhiều trường hợp sẽ kết xuất các kết nối. Nhiều cài đặt tìm kiếm SharePoint có vấn đề này bởi vì trình chỉ mục tìm kiếm yêu cầu rất nhiều thứ rất nhanh.

Hy vọng rằng điều này sẽ giúp một chút hoặc cung cấp cho bạn một số ý tưởng về những gì cần xem xét. Bạn có thể thêm CAPTCHA và các thứ khác vào trang web, nhưng cuối cùng các cuộc tấn công như thế này sẽ đến TCP / IP và các thiết bị để nhận ra một cuộc tấn công và ngăn chặn hoặc tiêu diệt nó, trang web của bạn chỉ có thể làm rất nhiều để tự bảo vệ mình.