Мой сайт был недавно атакован. Что мне делать?

Это первое для меня. Один из сайтов, на которых я работаю, недавно подвергся нападению. Не совсем интеллектуальная атака - чисто грубая сила - поражает каждую страницу и каждую нестраницу с каждым возможным расширением. Публикуется с мусорными данными в каждой форме и пытается опубликовать несколько случайных URL-адресов. Всего tod, 16000 запросов в час.

Что я должен сделать, чтобы предотвратить / предупредить такое поведение? Есть ли способ ограничить запрос / час для данного IP / клиента?

Есть ли место, куда я должен сообщать пользователю? Похоже, они из Китая и оставили то, что похоже на действительное письмо.

Какой тип программного обеспечения вы используете на своем сайте? Являются ли эти поля комментариев специально созданными или популярным программным пакетом? В большинстве популярных пакетов есть плагины, помогающие победить (известных) спам-ботов. Если он построен специально, добавление CAPTCHA определенно поможет сократить спам.

Кроме того, если вы знаете IP-адрес «пользователя», заблокируйте его на своем сайте (если у вас есть такая возможность) и сообщите об этом вашему веб-хосту (при условии, что вы находитесь в удаленной компании). Ваш хост будет (читай: должен) быть рад заблокировать 16 000 дополнительных запросов. Особенно, если вы используете общий хост, так как это может повлиять на производительность других клиентов.

во-первых, попытайтесь выяснить, что они сделали. Им удалось внедрить код или SQL? Они изменили вашу БД? Это они получают доступ к данным, к которым у них не должно быть доступа?

Ваши описания звучат так, как будто они совершали только случайные «атаки», не причиняя реального вреда. В этом случае попытайтесь настроить защиту от тех атак, от которых вы еще не защищены. Так что вооружите свой форум некоторыми капчами.

Предотвращение: капчи могут помочь. Существуют также инструменты, которые проверяют ваш сайт на наличие проблем с безопасностью. Вы можете использовать такой инструмент.

Предупреждение / ограничение: зависит от среды и вашего хостера. Вы всегда можете добавить проверку IP на свои страницы и просто вернуть отказ в доступе для определенных IP-адресов, но а) я думаю, что IP-адрес не будет фиксированным, и в следующий раз кто-то невинный получит IP-адрес, и б) есть ли несколько пользователей за один IP (прокси компании). Таким образом, блокировка IP не кажется хорошей идеей.

Если вы используете Linux, «iptables» предоставляет вам большую свободу в выборе политики для регулирования новых соединений с IP-адресов или диапазонов IP-адресов. Пытаться:

iptables -A INPUT -p tcp --dport 80 -m состояние --state NEW -m предел --limit 120 / мин. -j ПРИНЯТЬ
iptables -A INPUT -p tcp --dport 80 -j DROP

Я думаю, что блокировка IP - хорошая идея. Капча может предотвратить спам, но 16000 запросов в час значительно увеличивают нагрузку на сервер.

Если атака происходит с ограниченного диапазона IP-адресов, я просто блокирую их все в iptables. Затем разблокируйте их через неделю.

Если у вас его еще нет, убедитесь, что ваш сайт регистрирует IP-адреса. Вы можете сделать бесплатный WHOIS WHOIS на сайте www.dnstuff.com, чтобы узнать, где IANA считает, что этот IP-адрес был создан. Во многих случаях он также предоставляет регистратора или интернет-провайдера для IP-адреса, и вы можете связаться с ними напрямую, чтобы сообщить об этом.

Очевидно, что вы можете временно заблокировать IP-адрес, единственная проблема в том, что многие интернет-провайдеры используют DHCP-адреса, поэтому, несмотря на то, что у атакующего сегодня такой IP-адрес, завтра он может отличаться, и, что более важно, законный пользователь может получить заблокированный IP-адрес.

Где находится ваш сайт? Если атака произошла в течение определенного периода времени, скажем, 10 минут, она должна была где-то вызвать тревогу DDOS, так как обычный объем сайта, вероятно, не так много запросов за такой короткий промежуток времени. Такие устройства, как Barracuda, предназначены для того, чтобы блокировать эти запросы, когда они приходят слишком быстро. IIS также имеет аналогичную функцию, при которой, если одновременно поступает слишком много запросов, он будет считать, что он подвергается атаке, и во многих случаях будет сбрасывать соединения. Эта проблема возникает во многих поисковых системах SharePoint, поскольку поисковый индексатор очень быстро запрашивает множество материалов.

Надеюсь, это немного поможет или даст вам некоторые идеи относительно того, на что смотреть. Вы можете добавить CAPTCHA и другие материалы на сайт, но в конце концов подобные атаки сводятся к TCP / IP и устройствам, чтобы распознать атаку и предотвратить или уничтожить ее, ваш сайт может сделать так много, чтобы защитить себя.