Meine Seite wurde kürzlich angegriffen. Was mache ich?

Dies ist eine Premiere für mich. Eine der Websites, die ich betreibe, wurde kürzlich angegriffen. Überhaupt kein intelligenter Angriff - reine Brute Force - traf jede Seite und jede Nicht-Seite mit jeder möglichen Erweiterung. Gepostet mit Mülldaten in jedes Formular und versucht, auch auf einige zufällige URLs zu posten. Alle tod, 16000 Anfragen in einer Stunde.

Was soll ich tun, um diese Art von Verhalten zu verhindern / zu alarmieren? Gibt es eine Möglichkeit, die Anforderung / Stunde für eine bestimmte IP / einen bestimmten Client zu begrenzen?

Gibt es einen Ort, an den ich den Benutzer melden sollte? Sie scheinen aus China zu stammen und haben eine scheinbar gültige E-Mail hinterlassen.

Welche Art von Software führen Sie auf Ihrer Website aus? Sind diese Kommentarfelder benutzerdefiniert oder ein beliebtes Softwarepaket? Die meisten populären Pakete haben Plugins, um (bekannte) Spambots zu besiegen. Wenn es speziell angefertigt wird, würde das Hinzufügen eines CAPTCHA definitiv dazu beitragen, Spam zu reduzieren.

Wenn Sie die IP des "Benutzers" kennen, blockieren Sie sie von Ihrer Site (wenn Sie über diese Fähigkeit verfügen) und melden Sie sie Ihrem Webhost (vorausgesetzt, Sie werden von einem Remote-Unternehmen gehostet). Ihr Host wird sich freuen (lesen: sollte) 16.000 zusätzliche Anfragen zu blockieren. Insbesondere, wenn Sie sich auf einem gemeinsam genutzten Host befinden, da dies die Leistung der anderen Kunden beeinträchtigen kann.

Versuchen Sie zunächst herauszufinden, was sie getan haben. Haben sie es geschafft, Code oder SQL einzufügen? Haben sie Ihre Datenbank geändert? Damit erhalten sie Zugriff auf Daten, auf die sie keinen Zugriff haben sollten?

Ihre Beschreibungen klingen so, als hätten sie nur einige zufällige "Angriffe" ausgeführt, ohne wirklich Schaden zuzufügen. Versuchen Sie in diesem Fall, eine Verteidigung für die Angriffe einzurichten, gegen die Sie noch nicht gesichert waren. Bewaffne dein Forum also mit ein paar Captchas.

Verhindern: Captchas können helfen. Es gibt auch Tools, die Ihre Website auf einige Sicherheitsprobleme überprüfen. Möglicherweise möchten Sie ein solches Tool verwenden.

Warnung / Limit: Abhängig von der Umgebung und Ihrem Hoster. Sie können Ihren Seiten jederzeit eine IP-Prüfung hinzufügen und einfach einen für bestimmte IPs verweigerten Zugriff zurückgeben. A) Ich denke, die IP wird nicht festgelegt, und beim nächsten Mal erhält jemand Unschuldiges die IP und b) stehen häufig mehrere Benutzer dahinter eine IP (Firmenvertreter). Das Blockieren einer IP scheint also keine gute Idee zu sein.

Wenn Sie Linux verwenden, können Sie mit 'iptables' eine Richtlinie frei auswählen, um neue Verbindungen aus IP-Adressen oder IP-Adressbereichen zu drosseln. Versuchen:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 / minute -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Ich halte das Blockieren der IP für eine gute Idee. Captcha kann Spam verhindern, aber 16000 Anfragen pro Stunde erhöhen die Serverlast erheblich.

Wenn der Angriff von einem begrenzten IP-Bereich ausgehen würde, würde ich einfach alle in iptables blockieren. Dann entsperren Sie sie eine Woche später.

Wenn Sie es noch nicht haben, stellen Sie sicher, dass Ihre Site IPs protokolliert. Sie können ein kostenloses IP WHOIS unter www.dnstuff.com durchführen, um zu sehen, woher IANA glaubt, dass die IP-Adresse stammt. In vielen Fällen wird auch der Registrar oder ISP für die IP-Adresse angegeben, und Sie können sich direkt an diesen wenden, um ihn zu melden.

Natürlich können Sie die IP-Adresse vorübergehend blockieren. Das einzige Problem dabei ist, dass so viele ISPs DHCP-Adressen verwenden, dass der Angreifer, obwohl er diese IP heute hat, morgen anders sein kann und vor allem ein legitimer Benutzer die blockierte IP erhalten kann.

Wo wird Ihre Website gehostet? Wenn der Angriff innerhalb eines bestimmten Zeitraums stattgefunden hat, z. B. 10 Minuten, sollte er irgendwo einen DDOS-Alarm ausgelöst haben, da das normale Volumen der Site in diesem kurzen Zeitraum wahrscheinlich nicht so viele Anfragen enthält. Geräte wie die von Barracuda sind so konzipiert, dass sie diese Anforderungen im Wesentlichen blockieren, wenn sie zu schnell eingehen. IIS hat auch eine ähnliche Funktion, bei der, wenn zu viele Anforderungen gleichzeitig eingehen, der Eindruck entsteht, dass sie angegriffen werden, und in vielen Fällen die Verbindungen gelöscht werden. Viele SharePoint-Suchinstallationen haben dieses Problem, da der Suchindexer sehr schnell viele Dinge anfordert.

Hoffentlich hilft dies ein bisschen oder gibt Ihnen einige Ideen, was Sie sich ansehen sollten. Sie können der Site CAPTCHA und andere Dinge hinzufügen, aber letztendlich sind solche Angriffe auf TCP / IP und Geräte zurückzuführen, um einen Angriff zu erkennen und zu verhindern oder zu beenden. Ihre Website kann nur so viel tun, um sich selbst zu schützen.