Situs saya baru-baru ini diserang. Apa yang saya lakukan?

10

Ini pertama kali buatku. Salah satu situs yang saya jalankan baru-baru ini diserang. Sama sekali bukan serangan cerdas - kekuatan kasar murni - mengenai setiap halaman dan setiap non-halaman dengan setiap ekstensi yang mungkin. Diposting dengan data sampah ke setiap formulir dan mencoba memposting ke beberapa url acak juga. Semua tod, 16000 permintaan dalam satu jam.

Apa yang harus saya lakukan untuk mencegah / mengingatkan perilaku semacam ini? Apakah ada cara untuk membatasi permintaan / jam untuk ip / klien yang diberikan?

Apakah ada tempat saya harus melaporkan pengguna? Mereka tampaknya berasal dari Cina dan memang meninggalkan apa yang tampak seperti email yang valid.

chrishomer
sumber
@ Lukas - Ini benar-benar campuran antara konfigurasi dan praktik pengkodean.
Dari mana mereka berasal, dan email yang mereka berikan kepada Anda, tidak mungkin menjadi ... informasi yang berguna (baca: nyata). :) (Juga memberikan suara untuk pindah ke serverfault; semoga berhasil!)
TJ Crowder

Jawaban:

4

Jenis perangkat lunak apa yang Anda jalankan di situs Anda? Apakah bidang komentar ini dibuat khusus, atau beberapa paket perangkat lunak populer? Kebanyakan paket populer memiliki plugin untuk membantu mengalahkan robot spam yang dikenal. Jika dibuat khusus, menambahkan CAPTCHA pasti akan membantu mengurangi spam.

Selanjutnya, jika Anda mengetahui IP "pengguna", blokir dari situs Anda (jika Anda memiliki kemampuan itu) dan laporkan ke hosting Anda (dengan asumsi Anda di-host oleh perusahaan jarak jauh). Host Anda akan (baca: harus) senang untuk memblokir 16.000 permintaan tambahan. Terutama jika Anda menggunakan host bersama, karena dapat memengaruhi kinerja pelanggan mereka yang lain.

Robbie
sumber
1

pertama, cobalah mencari tahu apa yang mereka lakukan. Apakah mereka berhasil menyuntikkan kode atau SQL? Apakah mereka memodifikasi DB Anda? Apakah mereka mendapatkan akses ke data yang seharusnya tidak mereka akses?

Deskripsi Anda terdengar seperti mereka hanya melakukan beberapa "serangan" acak tanpa melakukan kerusakan nyata. Dalam hal itu, cobalah untuk mengatur pertahanan untuk serangan-serangan yang Anda belum amankan. Jadi bekali forum Anda dengan beberapa captcha.

Cegah: captcha dapat membantu. Ada juga alat yang memeriksa situs web Anda terhadap beberapa masalah keamanan. Anda mungkin ingin menggunakan alat semacam itu.

Peringatan / Batas: tergantung pada lingkungan dan hoster Anda. Anda selalu dapat menambahkan cek IP ke halaman Anda dan hanya mengembalikan akses yang ditolak untuk IP tertentu, tetapi a) Saya kira IP tidak akan diperbaiki dan lain kali, seseorang yang tidak bersalah akan mendapatkan IP dan b) sering ada beberapa pengguna di belakang satu IP (proksi perusahaan). Jadi memblokir IP sepertinya bukan ide yang bagus.

rdmueller
sumber
1

Jika Anda menggunakan linux, 'iptables' memberi Anda kebebasan besar dalam memilih kebijakan untuk membatasi koneksi baru dari alamat IP atau rentang alamat IP. Mencoba:

iptables -A INPUT -p tcp --dport 80 -m state --state BARU -m limit --limit 120 / menit -j ACCEPT
iptables -A INPUT -p tcp --port 80 -j DROP
Charles Stewart
sumber
Saya pikir ini ide yang bagus. Pasti akan mencoba ini.
chrishomer
0

Saya pikir memblokir IP adalah ide yang bagus. Captcha dapat mencegah spam tetapi 16.000 permintaan per jam menambah banyak server.

Jika serangan itu berasal dari kisaran IP terbatas maka saya hanya akan memblokir mereka semua di iptables. Kemudian buka blokirnya seminggu kemudian.

Lamnk
sumber
0

Jika Anda belum memilikinya, pastikan situs Anda mencatat IP. Anda dapat melakukan IP WHOIS gratis di www.dnstuff.com untuk melihat dari mana IANA pikir Alamat IP berasal. Dalam banyak kasus ini juga menyediakan pencatat atau ISP untuk Alamat IP dan Anda dapat menghubungi mereka secara langsung untuk melaporkannya.

Jelas Anda dapat sementara memblokir Alamat IP, satu-satunya masalah dengan itu adalah begitu banyak ISP menggunakan alamat DHCP sehingga meskipun penyerang memiliki IP hari ini mungkin berbeda besok dan yang lebih penting pengguna yang sah mungkin mendapatkan IP yang diblokir.

Di mana situs Anda dihosting? Jika serangan itu terjadi dalam jangka waktu tertentu, katakanlah 10 menit itu seharusnya memicu alarm DDOS di suatu tempat karena volume normal situs mungkin tidak banyak permintaan dalam jangka waktu singkat. Perangkat seperti Barracuda membuat dirancang untuk dasarnya memblokir permintaan itu ketika mereka masuk terlalu cepat. IIS juga memiliki fitur serupa di mana jika terlalu banyak permintaan tiba pada saat yang sama ia akan berpikir sedang diserang, dan dalam banyak kasus akan membuang koneksi. Banyak instalasi pencarian SharePoint memiliki masalah ini karena pengindeksan pencarian meminta banyak hal dengan sangat cepat.

Semoga ini sedikit membantu atau memberi Anda beberapa ide tentang apa yang harus dilihat. Anda dapat menambahkan CAPTCHA dan hal-hal lain ke situs, tetapi pada akhirnya serangan seperti ini turun ke TCP / IP dan perangkat untuk mengenali serangan dan mencegah atau membunuhnya, situs web Anda hanya dapat melakukan banyak hal untuk melindungi dirinya sendiri.

Brent Pabst
sumber