Siteme kısa süre önce saldırıya uğradı. Ben ne yaparım?

Bu benim için bir ilk. Çalıştırdığım sitelerden biri son zamanlarda saldırıya uğradı. Hiç de akıllı bir saldırı - saf kaba kuvvet - mümkün olan her uzantıyla her sayfaya ve sayfa dışı olanlara vurun. Her forma çöp verileri ile gönderildi ve bazı rastgele url'ler de göndermeye çalıştı. Tüm tod, bir saatte 16000 istek.

Bu tür davranışları önlemek / uyarmak için ne yapmalıyım? Belirli bir ip / istemci için isteği / saati sınırlamanın bir yolu var mı?

Kullanıcıyı rapor etmem gereken bir yer var mı? Çin'den geliyorlar ve geçerli bir e-posta gibi görünen şeyleri bıraktılar.

Sitenizde ne tür yazılımlar kullanıyorsunuz? Bu yorum alanları özel olarak mı oluşturulmuş veya bazı popüler yazılım paketleri mi? En popüler paketlerin spambot'ları yenmek için eklentileri vardır. Özel olarak oluşturulmuşsa, bir CAPTCHA eklemek kesinlikle spam azaltmaya yardımcı olacaktır.

Ayrıca, "kullanıcının" IP'sini biliyorsanız, sitenizden engelleyin (bu yeteneğe sahipseniz) ve webhost'unuza bildirin (uzak bir şirket tarafından barındırıldığınızı varsayarak.) 16.000 ekstra isteği engellemek için. Özellikle paylaşılan bir ana bilgisayardaysanız, diğer müşterilerinin performansını etkileyebileceğinden.

önce ne yaptıklarını bulmaya çalış. Kod veya SQL enjekte etmeyi başardılar mı? DB'nizi değiştirdiler mi? Bu, erişimi olmaması gereken verilere erişebilir mi?

Açıklamalarınız gerçek bir zarar vermeden sadece rastgele bir "saldırı" yapmış gibi görünür. Bu durumda, henüz güvenceye alınmadığınız saldırılara karşı bir savunma kurmaya çalışın. Bu yüzden forumunuzu bazı captcha'larla donatın.

Önleyin: captcha'lar yardımcı olabilir. Ayrıca, web sitenizi bazı güvenlik sorunlarına karşı kontrol eden araçlar da vardır. Böyle bir aracı kullanmak isteyebilirsiniz.

Uyarı / Sınır: çevreye ve barındırıcınıza bağlıdır. Sayfalarınıza her zaman bir IP kontrolü ekleyebilir ve yalnızca belirli IP'ler için reddedilen bir erişim döndürebilirsiniz, ancak a) Sanırım IP sabitlenmeyecek ve bir dahaki sefere masum biri IP alacak ve b) genellikle birkaç kullanıcı var bir IP (şirket vekilleri). Yani bir IP'yi engellemek iyi bir fikir gibi görünmüyor.

Linux kullanıyorsanız, 'iptables' IP adreslerinden veya IP adres aralıklarından yeni bağlantıları kısıtlamak için bir politika seçmede büyük özgürlük sağlar. Deneyin:

iptables -A INPUT -p tcp --port 80 -m durum - durum YENİ -m limit - limit 120 / dakika -j KABUL
iptables -A GİRİŞ -p tcp --dport 80 -j DAMLA

IP engelleme iyi bir fikir olduğunu düşünüyorum. Captcha spam'i önleyebilir ancak saatte 16000 istek sunucu yükünü çok artırır.

Saldırı IP sınırlı bir aralıktan kaynaklandıysa, ben sadece iptables hepsini engellemek. Sonra bir hafta sonra engellemelerini kaldırın.

Henüz sahip değilseniz, sitenizin IP'leri günlüğe kaydettiğinden emin olun. IANA'nın IP Adresinin nereden geldiğini düşündüğünü görmek için www.dnstuff.com adresinden ücretsiz bir IP WHOIS yapabilirsiniz. Birçok durumda, IP Adresi için kayıt şirketi veya İSS de sağlar ve bunu bildirmek için doğrudan onlarla iletişime geçebilirsiniz.

Açıkçası IP Adresini geçici olarak engelleyebilirsiniz, bununla ilgili tek sorun, birçok ISS'nin DHCP adreslerini kullanmasıdır, saldırgan bugün IP'ye sahip olsa bile yarın farklı olabilir ve daha da önemlisi yasal bir kullanıcı engellenen IP'yi alabilir.

Siteniz nerede barındırılıyor? Saldırı bir süre içinde gerçekleştiyse, 10 dakika diyelim ki bir yerlerde bir DDOS alarmı tetiklemeliydi, çünkü sitenin normal hacmi o zaman dilimi içinde pek çok istek değildir. Barracuda'nın yaptığı cihazlar, çok hızlı bir şekilde geldiklerinde bu istekleri engellemek için tasarlanmıştır. IIS, aynı anda çok fazla istek gelmesi durumunda saldırıya uğradığını düşünecek ve birçok durumda bağlantıları dökeceği benzer bir özelliğe sahiptir. Arama dizin oluşturucusu çok fazla şeyi çok hızlı bir şekilde alması nedeniyle birçok SharePoint arama yüklemesinde bu sorun vardır.

Umarım bu biraz yardımcı olur veya neye bakacağınıza dair bazı fikirler verir. Siteye CAPTCHA ve diğer şeyleri ekleyebilirsiniz, ancak bunun gibi saldırılarda TCP / IP'ye ve bir saldırıyı tanımak ve önlemek veya öldürmek için cihazlara inilir, web siteniz yalnızca kendini korumak için çok şey yapabilir.