На мій сайт нещодавно напали. Що мені робити?

Це для мене перше. Один із сайтів, якими я керував, нещодавно зазнав нападу. Зовсім не розумна атака - чиста груба сила - потрапляє на кожну сторінку та кожну несторінку з кожним можливим розширенням. Опублікував дані зі сміттям у будь-якій формі та спробував розмістити і деякі випадкові URL-адреси. Все, 16000 запитів за одну годину.

Що мені робити, щоб запобігти / попередити подібну поведінку? Чи є спосіб обмежити запит / год для даного ip / клієнта?

Чи є місце, про яке я повинен повідомляти користувача? Вони, схоже, з Китаю і покинули те, що здається дійсним електронною поштою.

Яке програмне забезпечення ви працюєте на своєму сайті? Ці поля для коментарів створені на замовлення чи популярний пакет програм? У більшості популярних пакетів є плагіни, які допомагають перемогти (відомі) спам-боти. Якщо це побудовано на замовлення, додавання CAPTCHA безумовно допоможе зменшити кількість спаму.

Крім того, якщо ви знаєте IP-адресу "користувача", заблокуйте його на своєму веб-сайті (якщо у вас є така можливість) і повідомте про це своєму веб-хостингу (припускаючи, що вас приймає віддалена компанія.) Ваш хост буде (читати: повинен) буде радий щоб заблокувати 16000 додаткових запитів. Особливо, якщо ви користуєтесь спільним хостом, оскільки це може вплинути на ефективність інших клієнтів.

спочатку спробуйте з’ясувати, що вони зробили. Чи вдалося їм ввести код або SQL? Вони змінили вашу БД? Це вони отримують доступ до даних, до яких вони не повинні мати доступ?

Ваші описи звучать так, ніби вони робили лише деякі випадкові "атаки", не роблячи справжньої шкоди. У такому випадку спробуйте створити захист від тих нападів, проти яких ви ще не забезпечені. Тож озбройте свій форум декількома капчами.

Запобігати: Captchas може допомогти. Існують також інструменти, які перевіряють ваш веб-сайт, має деякі проблеми із безпекою. Ви можете скористатися таким інструментом.

Попередження / обмеження: залежить від середовища та вашого господаря. Ви завжди можете додати чек на IP-адресу на свої сторінки та просто повернути доступ, заборонений для конкретних IP-адрес, але а) Я думаю, що IP-адресу не буде виправлено, і наступного разу, коли хтось невинний отримає IP-адресу, і b) чи часто за ними стоять декілька користувачів один IP (проксі-сервери компанії). Тому блокування IP-адреси не здається гарною ідеєю.

Якщо ви використовуєте linux, 'iptables' дозволяє вам отримати велику свободу у виборі політики щодо переключення нових з'єднань з IP-адрес або діапазонів IP-адрес. Спробуйте:

iptables -A INPUT -p tcp - доповідь 80 -m стан - держава NEW -m межа - ліміт 120 / хвилина -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Я думаю, що блокувати IP - це гарна ідея. Captcha може запобігти спаму, але 16000 запитів на годину значно збільшують завантаження сервера.

Якщо атака виникла з обмеженого діапазону IP, то я просто просто заблокував би їх усіх в iptables. Потім розблокуйте їх через тиждень.

Якщо у вас цього немає, переконайтесь, що ваш сайт реєструє IP-адреси. Ви можете зробити безкоштовний IP WHOIS на веб-сайті www.dnstuff.com, щоб побачити, де IANA думає, що походить IP-адреса. У багатьох випадках він також надає реєстратору або Інтернет-провайдеру IP-адресу, і ви можете зв’язатися з ними безпосередньо, щоб повідомити про це.

Очевидно, ви можете тимчасово заблокувати IP-адресу, єдина проблема з цим полягає в тому, що багато провайдерів використовують DHCP-адреси, що навіть незважаючи на те, що у зловмисника є IP-адреса, він може бути іншим завтра і, що ще важливіше, законний користувач може отримати заблокований IP-адресу.

Де розміщується ваш сайт? Якщо напад стався протягом певного періоду часу, скажімо, 10 хвилин, він повинен був десь спрацювати тривожною системою DDOS, оскільки нормальний об'єм сайту, ймовірно, не так багато запитів за той короткий проміжок часу. Пристрої на зразок Barracuda покликані блокувати ці запити, коли вони надто швидко надходять. IIS також має подібну функцію, коли, якщо одночасно надходить занадто багато запитів, він вважатиме, що на неї нападають, і в багатьох випадках скидає з’єднання. У багатьох пошукових установах SharePoint виникає ця проблема, оскільки індекс-пошук дуже швидко вимагає багато матеріалів.

Сподіваємось, це трохи допомагає або дає кілька ідей щодо того, на що слід звернути увагу. Ви можете додати CAPTCHA та інші речі на сайт, але врешті-решт напади, подібні цій, зводиться до TCP / IP та пристроїв, щоб розпізнати напад та запобігти або вбити його, ваш веб-сайт може зробити лише стільки, щоб захистити себе.