Mi sitio fue atacado recientemente. ¿Qué debo hacer?

Esta es mi primera vez. Uno de los sitios que ejecuto fue atacado recientemente. Para nada, un ataque inteligente, pura fuerza bruta, golpea cada página y cada página que no sea con todas las extensiones posibles. Se publicó con datos basura en todos los formularios y también se intentó publicar en algunas URL al azar. Todos tod, 16000 solicitudes en una hora.

¿Qué debo hacer para prevenir / alertar este tipo de comportamiento? ¿Hay alguna forma de limitar la solicitud / hora para una determinada IP / cliente?

¿Hay algún lugar al que deba informar al usuario? Parecen ser de China y dejaron lo que parece un correo electrónico válido.

¿Qué tipo de software está ejecutando en su sitio? ¿Son estos campos de comentarios personalizados o algún paquete de software popular? Los paquetes más populares tienen complementos para ayudar a derrotar a los spambots (conocidos). Si está construido a medida, agregar un CAPTCHA definitivamente ayudaría a reducir el spam.

Además, si conoce la IP del "usuario", bloquéela de su sitio (si tiene esa habilidad) e infórmela a su webhost (suponiendo que esté alojado en una empresa remota). Su anfitrión (leerá: debería) estar contento para bloquear 16,000 solicitudes adicionales. Especialmente si está en un host compartido, ya que puede afectar el rendimiento de sus otros clientes.

primero, intenta averiguar qué hicieron. ¿Se las arreglaron para inyectar código o SQL? ¿Modificaron su DB? ¿Para esto tienen acceso a datos a los que no deberían tener acceso?

Sus descripciones suenan como si solo hubieran hecho algunos "ataques" al azar sin hacer daño real. En ese caso, intente establecer una defensa para esos ataques contra los cuales aún no está asegurado. Así que arma tu foro con algunos captchas.

Prevenir: los captchas pueden ayudar. También hay herramientas que comprueban su sitio web contra algunos problemas de seguridad. Es posible que desee utilizar dicha herramienta.

Alerta / Límite: depende del entorno y su proveedor de alojamiento. Siempre puede agregar una verificación de IP a sus páginas y simplemente devolver un acceso denegado para IP específicas, pero a) Supongo que la IP no se solucionará y la próxima vez, alguien inocente obtendrá la IP yb) a menudo hay varios usuarios detrás una IP (proxies de la compañía). Por lo tanto, bloquear una IP no parece ser una buena idea.

Si está utilizando Linux, 'iptables' le permite una gran libertad para elegir una política para limitar nuevas conexiones desde direcciones IP o rangos de direcciones IP. Tratar:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 / minute -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Creo que bloquear la IP es una buena idea. Captcha puede evitar el correo no deseado, pero 16000 solicitudes por hora aumentan mucho la carga del servidor.

Si el ataque se originó en un rango limitado de IP, simplemente los bloquearía en iptables. Luego, desbloquéalos una semana después.

Si aún no lo tiene, asegúrese de que su sitio esté registrando IP. Puede hacer un WHOIS IP gratuito en www.dnstuff.com para ver dónde piensa IANA que se origina la dirección IP. En muchos casos, también proporciona el registrador o ISP para la dirección IP y puede contactarlos directamente para informarlo.

Obviamente, puede bloquear temporalmente la dirección IP, el único problema es que muchos ISP utilizan direcciones DHCP que, aunque el atacante tenga esa IP hoy, podría ser diferente mañana y, lo que es más importante, un usuario legítimo puede obtener la IP bloqueada.

¿Dónde está alojado tu sitio? Si el ataque tuvo lugar dentro de un período de tiempo, digamos 10 minutos, debería haber activado una alarma DDOS en algún lugar, ya que el volumen normal del sitio probablemente no es tantas solicitudes en ese corto período de tiempo. Los dispositivos como los que fabrica Barracuda están diseñados para bloquear esencialmente esas solicitudes cuando llegan demasiado rápido. IIS también tiene una característica similar en la que si llegan demasiadas solicitudes al mismo tiempo, pensará que se está atacando y, en muchos casos, volcará las conexiones. Muchas instalaciones de búsqueda de SharePoint tienen este problema porque el indexador de búsqueda requiere muchas cosas muy rápidamente.

Esperemos que esto ayude un poco o te dé algunas ideas sobre qué mirar. Puede agregar CAPTCHA y otras cosas al sitio, pero al final los ataques como este se reducen a TCP / IP y dispositivos para reconocer un ataque y prevenirlo o matarlo, su sitio web solo puede hacer mucho para protegerse.