Il mio sito è stato recentemente attaccato. Cosa faccio?

Questa è la prima volta per me. Uno dei siti che gestisco è stato recentemente attaccato. Non è affatto un attacco intelligente - pura forza bruta - colpire ogni pagina e ogni non-pagina con ogni estensione possibile. Inserito con dati inutili in ogni modulo e provato a pubblicare anche in alcuni URL casuali. Tutto sommato, 16000 richieste in un'ora.

Cosa devo fare per prevenire / avvisare questo tipo di comportamento? C'è un modo per limitare la richiesta / ora per un determinato ip / client?

C'è un posto in cui dovrei segnalare l'utente? Sembrano provenire dalla Cina e hanno lasciato quella che sembra un'e-mail valida.

Che tipo di software stai eseguendo sul tuo sito? Questi campi di commento sono personalizzati o alcuni pacchetti software popolari? I pacchetti più popolari hanno plugin per aiutare a sconfiggere (conosciuti) spambots. Se è personalizzato, l'aggiunta di un CAPTCHA contribuirebbe sicuramente a ridurre lo spam.

Inoltre, se conosci l'IP "dell'utente", bloccalo dal tuo sito (se ne hai la possibilità) e segnalalo al tuo host web (supponendo che tu sia ospitato da una compagnia remota.) Il tuo host (leggi: dovrebbe) essere contento per bloccare 16.000 richieste extra. Soprattutto se si utilizza un host condiviso, poiché potrebbe influire sulle prestazioni degli altri clienti.

per prima cosa, prova a scoprire cosa hanno fatto. Sono riusciti a iniettare codice o SQL? Hanno modificato il tuo DB? In questo modo hanno accesso ai dati a cui non dovrebbero avere accesso?

Le tue descrizioni sembrano come se avessero fatto solo alcuni "attacchi" casuali senza causare danni reali. In tal caso, prova a creare una difesa per quegli attacchi contro i quali non sei ancora al sicuro. Quindi armate il vostro forum con alcuni captcha.

Prevenire: i captcha possono aiutare. Ci sono anche strumenti che controllano il tuo sito Web con alcuni problemi di sicurezza. Potresti voler usare un simile strumento.

Avviso / Limite: dipende dall'ambiente e dall'hoster. Puoi sempre aggiungere un controllo IP alle tue pagine e semplicemente restituire un accesso negato per IP specifici, ma a) Immagino che l'IP non verrà risolto e la prossima volta, qualcuno innocente otterrà l'IP eb) ci sono spesso diversi utenti dietro un IP (proxy aziendali). Quindi bloccare un IP non sembra essere una buona idea.

Se stai usando Linux, 'iptables' ti offre una grande libertà nella scelta di una politica per limitare nuove connessioni da indirizzi IP o intervalli di indirizzi IP. Provare:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 / minute -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Penso che bloccare l'IP sia una buona idea. Captcha può impedire lo spam ma 16000 richieste all'ora aumentano molto il carico del server.

Se l'attacco proviene da un intervallo limitato di IP, semplicemente li bloccherei tutti in iptables. Quindi sbloccali una settimana dopo.

Se non lo hai già assicurati che il tuo sito stia registrando gli IP. Puoi fare un WHOIS IP gratuito su www.dnstuff.com per vedere dove IANA pensa che abbia origine l'indirizzo IP. In molti casi fornisce anche il registrar o ISP per l'indirizzo IP e puoi contattarli direttamente per segnalarlo.

Ovviamente puoi bloccare temporaneamente l'indirizzo IP, l'unico problema è che così tanti ISP utilizzano indirizzi DHCP che anche se l'attaccante ha quell'IP oggi potrebbe essere diverso domani e, soprattutto, un utente legittimo può ottenere l'IP bloccato.

Dove è ospitato il tuo sito? Se l'attacco ha avuto luogo entro un periodo di tempo, diciamo 10 minuti, avrebbe dovuto innescare un allarme DDOS da qualche parte poiché il normale volume del sito non è probabilmente molte richieste in un periodo di tempo così breve. I dispositivi come Barracuda sono progettati per bloccare essenzialmente quelle richieste quando arrivano troppo velocemente. IIS ha anche una funzionalità simile in cui se arrivano troppe richieste contemporaneamente penserà di essere attaccato e in molti casi scaricherà le connessioni. Molte installazioni di ricerca di SharePoint presentano questo problema perché l'indicizzatore di ricerca richiede molte cose molto rapidamente.

Spero che questo aiuti un po 'o ti dia alcune idee su cosa guardare. Puoi aggiungere CAPTCHA e altre cose al sito, ma alla fine attacchi come questo scendono su TCP / IP e dispositivi per riconoscere un attacco e prevenirlo o ucciderlo, il tuo sito web può fare solo così tanto per proteggersi.