Mon site a récemment été attaqué. Que fais-je?

10

C'est une première pour moi. L'un des sites que je dirige a récemment été attaqué. Pas du tout une attaque intelligente - pure force brute - a frappé chaque page et chaque non-page avec toutes les extensions possibles. Publié avec des données d'ordures dans chaque formulaire et a également essayé de publier sur certaines URL aléatoires. Tout le monde, 16 000 demandes en une heure.

Que dois-je faire pour empêcher / alerter ce type de comportement? Existe-t-il un moyen de limiter la demande / heure pour une IP / un client donné?

Y a-t-il un endroit où je devrais signaler l'utilisateur? Ils semblent provenir de Chine et ont laissé ce qui semble être un e-mail valide.

chrishomer
la source
@Luke - C'est vraiment un mélange entre la configuration et les pratiques de codage.
D'où ils semblent provenir, et l'e-mail qu'ils vous ont donné, sont peu susceptibles d'être ... des informations utiles (lire: réelles). :) (Votant également pour passer à serverfault; bonne chance!)
TJ Crowder

Réponses:

4

Quel type de logiciel utilisez-vous sur votre site? Ces champs de commentaires sont-ils personnalisés ou sont-ils des logiciels populaires? Les paquets les plus populaires ont des plugins pour aider à vaincre les spambots (connus). S'il est construit sur mesure, l'ajout d'un CAPTCHA aiderait certainement à réduire le spam.

De plus, si vous connaissez l'adresse IP de "l'utilisateur", bloquez-la de votre site (si vous en avez la capacité) et signalez-la à votre hébergeur (en supposant que vous êtes hébergé par une entreprise distante.) Votre hôte sera (lire: devrait) être content pour bloquer 16 000 demandes supplémentaires. Surtout si vous êtes sur un hôte partagé, car cela peut avoir un impact sur les performances de leurs autres clients.

Robbie
la source
1

essayez d'abord de découvrir ce qu'ils ont fait. Ont-ils réussi à injecter du code ou du SQL? Ont-ils modifié votre base de données? À quoi ont-ils accès à des données auxquelles ils ne devraient pas avoir accès?

Vos descriptions sonnent comme si elles n'avaient fait que quelques "attaques" aléatoires sans faire vraiment de mal. Dans ce cas, essayez de mettre en place une défense pour les attaques contre lesquelles vous n'êtes pas encore sécurisé. Alors armez votre forum avec quelques captchas.

Empêcher: les captchas peuvent vous aider. Il existe également des outils qui vérifient votre site Web contre certains problèmes de sécurité. Vous voudrez peut-être utiliser un tel outil.

Alerte / Limite: dépend de l'environnement et de votre hébergeur. Vous pouvez toujours ajouter une vérification IP à vos pages et simplement renvoyer un accès refusé pour des adresses IP spécifiques, mais a) je suppose que l'adresse IP ne sera pas fixée et la prochaine fois, une personne innocente obtiendra l'adresse IP et b) y a-t-il souvent plusieurs utilisateurs derrière une IP (mandataires d'entreprise). Le blocage d'une adresse IP ne semble donc pas être une bonne idée.

rdmueller
la source
1

Si vous utilisez Linux, «iptables» vous offre une grande liberté dans le choix d'une stratégie pour limiter les nouvelles connexions à partir d'adresses IP ou de plages d'adresses IP. Essayer:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 / minute -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
Charles Stewart
la source
Je pense que c'est une excellente idée. J'essaierai certainement cela.
chrishomer
0

Je pense que bloquer l'adresse IP est une bonne idée. Le captcha peut empêcher le spam, mais 16 000 requêtes par heure augmentent considérablement la charge du serveur.

Si l'attaque provenait d'une plage IP limitée, je les bloquerais simplement dans iptables. Débloquez-les ensuite une semaine plus tard.

Lamnk
la source
0

Si vous ne l'avez pas déjà, assurez-vous que votre site enregistre les adresses IP. Vous pouvez faire un WHOIS IP gratuit sur www.dnstuff.com pour voir d'où IANA pense que l'adresse IP provient. Dans de nombreux cas, il fournit également le registraire ou le FAI pour l'adresse IP et vous pouvez les contacter directement pour le signaler.

Évidemment, vous pouvez bloquer temporairement l'adresse IP, le seul problème avec cela est que de nombreux FAI utilisent des adresses DHCP que même si l'attaquant a cette IP aujourd'hui, cela pourrait être différent demain et plus important encore, un utilisateur légitime peut obtenir l'IP bloquée.

Où est hébergé votre site? Si l'attaque a eu lieu dans un laps de temps, disons 10 minutes, elle aurait dû déclencher une alarme DDOS quelque part, car le volume normal du site n'est probablement pas autant de demandes en si peu de temps. Des appareils comme Barracuda sont conçus pour bloquer essentiellement ces demandes lorsqu'elles arrivent trop rapidement. IIS a également une fonctionnalité similaire où, si trop de demandes arrivent en même temps, il pensera qu'il est attaqué et, dans de nombreux cas, videra les connexions. De nombreuses installations de recherche SharePoint ont ce problème car l'indexeur de recherche demande beaucoup de choses très rapidement.

J'espère que cela vous aidera un peu ou vous donnera quelques idées sur ce qu'il faut regarder. Vous pouvez ajouter CAPTCHA et d'autres éléments sur le site, mais à la fin, des attaques comme celle-ci se résument à TCP / IP et aux appareils pour reconnaître une attaque et la prévenir ou la tuer, votre site Web ne peut que faire beaucoup pour se protéger.

Brent Pabst
la source