मेरी साइट पर हाल ही में हमला किया गया था। मैं क्या करूं?

10

मेरे लिए तो यह पहला ही है। मेरे द्वारा चलाए गए स्थलों में से एक पर हाल ही में हमला किया गया था। एक बुद्धिमान हमले में नहीं - शुद्ध पाशविक बल - हर पृष्ठ और हर गैर-पृष्ठ को हर संभव विस्तार से मारा। हर फॉर्म में कचरा डेटा के साथ पोस्ट किया गया और कुछ यादृच्छिक यूआरएल भी पोस्ट करने की कोशिश की। सभी टॉड, एक घंटे में 16000 अनुरोध।

इस तरह के व्यवहार को रोकने / सतर्क करने के लिए मुझे क्या करना चाहिए? क्या किसी दिए गए आईपी / ग्राहक के लिए अनुरोध / घंटा को सीमित करने का कोई तरीका है?

क्या कोई जगह है जो मुझे उपयोगकर्ता को रिपोर्ट करनी चाहिए? वे चीन से प्रतीत होते हैं और एक वैध ई-मेल जैसा प्रतीत होता है।

security hacking

— chrishomer
स्रोत

@ ल्यूक - यह वास्तव में कॉन्फ़िगरेशन और कोडिंग प्रथाओं के बीच एक मिश्रण है।

वे कहाँ से प्रतीत होते हैं, और उन्होंने जो ईमेल आपको दिया है, वह होने की संभावना नहीं है ... उपयोगी (पढ़ें: वास्तविक) जानकारी के टुकड़े। :) (इसके अलावा सर्वरफॉल्ट पर जाने के लिए मतदान; सौभाग्य!)

— टीजे क्राउडर

4

आप अपनी साइट पर किस प्रकार के सॉफ्टवेयर चला रहे हैं? क्या ये टिप्पणी फ़ील्ड कस्टम निर्मित हैं, या कुछ लोकप्रिय सॉफ़्टवेयर पैकेज हैं? अधिकांश लोकप्रिय पैकेज में हार (ज्ञात) स्पैम्बोट्स की मदद करने के लिए प्लगइन्स हैं। यदि यह कस्टम निर्मित है, तो कैप्चा जोड़ने से निश्चित रूप से स्पैम पर कटौती करने में मदद मिलेगी।

इसके अलावा, यदि आप "उपयोगकर्ता का आईपी" जानते हैं, तो इसे अपनी साइट से ब्लॉक करें (यदि आपके पास वह क्षमता है) और इसे अपने वेबहोस्ट को रिपोर्ट करें (यह मानते हुए कि आप एक दूरस्थ कंपनी द्वारा होस्ट किए गए हैं।) आपकी मेज़बान (पढ़ें:) को प्रसन्न होना चाहिए। 16,000 अतिरिक्त अनुरोध ब्लॉक करने के लिए। खासकर यदि आप एक साझा होस्ट पर हैं, क्योंकि यह उनके अन्य ग्राहकों के प्रदर्शन को प्रभावित कर सकता है।

— रोबी
स्रोत

1

सबसे पहले, यह पता लगाने की कोशिश करें कि उन्होंने क्या किया। क्या उन्होंने कोड या एसक्यूएल इंजेक्ट करने का प्रबंधन किया था? क्या उन्होंने आपका DB संशोधित किया? यह उन्हें डेटा तक पहुंच प्राप्त करता है, जिसके लिए उन्हें पहुंच नहीं होनी चाहिए?

आपके विवरणों में ऐसा लगता है जैसे उन्होंने वास्तविक नुकसान किए बिना केवल कुछ यादृच्छिक "हमले" किए। उस मामले में, उन हमलों के लिए एक रक्षा स्थापित करने का प्रयास करें जिनके खिलाफ आप अभी तक सुरक्षित नहीं हैं। तो अपने मंच को कुछ कैप्चा के साथ बांधे।

रोकें: कैप्चा मदद कर सकता है। ऐसे उपकरण भी हैं जो आपकी वेबसाइट को फिर से जांचते हैं कि कुछ सुरक्षा समस्याएं हैं। आप इस तरह के उपकरण का उपयोग करना चाह सकते हैं।

चेतावनी / सीमा: पर्यावरण और आपके मेजबान पर निर्भर करती है। आप हमेशा अपने पृष्ठों में एक आईपी चेक जोड़ सकते हैं और केवल विशिष्ट आईपी के लिए अस्वीकृत एक्सेस लौटा सकते हैं, लेकिन क) मुझे लगता है कि आईपी ठीक नहीं किया जाएगा और अगली बार, किसी निर्दोष को आईपी मिलेगा और बी) अक्सर कई उपयोगकर्ता पीछे होते हैं एक आईपी (कंपनी प्रॉक्सी)। इसलिए IP को ब्लॉक करना एक अच्छा विचार नहीं है।

— rdmueller
स्रोत

1

यदि आप linux का उपयोग कर रहे हैं, तो 'iptables' आपको IP पते या मेल श्रेणी से नए कनेक्शन को थ्रॉटल करने की नीति चुनने में बहुत स्वतंत्रता देता है। प्रयत्न:

iptables-INPUT -p tcp --dport 80 -m राज्य --स्टेट न्यू -m सीमा - लगभग 120 / मिनट -j ACCEPT
iptables-INPUT -p tcp --dport 80 -j DROP

— चार्ल्स स्टीवर्ट
स्रोत

मुझे लगता है कि यह एक महान विचार है। जरूर आजमाएंगे।

— क्रिशोमर

0

मुझे लगता है कि आईपी को ब्लॉक करना एक अच्छा विचार है। कैप्चा स्पैम को रोक सकता है लेकिन प्रति घंटे 16000 अनुरोध सर्वर लोड को बहुत बढ़ाता है।

यदि हमला आईपी की एक सीमित सीमा से हुआ है तो मैं बस उन सभी को iptables में ब्लॉक कर दूंगा। फिर एक हफ्ते बाद उन्हें अनब्लॉक करें।

— Lamnk
स्रोत

0

यदि आपके पास यह पहले से ही सुनिश्चित नहीं है कि आपकी साइट आईपी लॉग कर रही है। आप www.dnstuff.com पर एक निशुल्क आईपी WHOIS कर सकते हैं, यह देखने के लिए कि आईएएनए को लगता है कि आईपी एड्रेस कहां से उत्पन्न होता है। कई मामलों में यह आईपी पते के लिए रजिस्ट्रार या आईएसपी भी प्रदान करता है और आप इसे रिपोर्ट करने के लिए सीधे उनसे संपर्क कर सकते हैं।

जाहिर है कि आप अस्थायी रूप से आईपी एड्रेस को ब्लॉक कर सकते हैं, इसके साथ एकमात्र समस्या यह है कि बहुत सारे आईएसपी डीएचसीपी पते का उपयोग करते हैं, भले ही हमलावर के पास यह हो कि आईपी आज कल अलग हो सकता है और इससे भी महत्वपूर्ण बात यह है कि एक वैध उपयोगकर्ता को अवरुद्ध आईपी मिल सकता है।

आपकी साइट कहां होस्ट की गई है? यदि हमला समय की अवधि के भीतर हुआ, तो 10 मिनट का कहना है कि इसे डीडीओएस अलार्म कहीं से ट्रिगर करना चाहिए था क्योंकि साइट की सामान्य मात्रा शायद एक समय अवधि के उस समय में कई अनुरोध नहीं है। बाराकुडा जैसे उपकरण बहुत तेजी से आने पर उन अनुरोधों को अनिवार्य रूप से अवरुद्ध करने के लिए डिज़ाइन किए गए हैं। IIS में एक समान सुविधा होती है, जहां यदि बहुत सारे अनुरोध एक ही समय में आते हैं, तो यह सोचेंगे कि यह हमला किया जा रहा है, और कई मामलों में कनेक्शन डंप हो जाएगा। कई SharePoint खोज प्रतिष्ठानों में यह समस्या होती है क्योंकि खोज अनुक्रमणिका बहुत अधिक सामान को बहुत तेज़ी से पुन: सहेजती है।

उम्मीद है कि यह थोड़ा मदद करता है या आपको कुछ विचार देता है कि क्या देखना है। आप कैप्चा और अन्य सामग्री को साइट पर जोड़ सकते हैं, लेकिन अंत में इस तरह के हमलों में टीसीपी / आईपी और उपकरणों पर हमला करने और उसे रोकने या मारने के लिए नीचे आते हैं, आपकी सुरक्षा के लिए आपकी वेबसाइट केवल इतना ही कर सकती है।

— ब्रेंट पब्स्ट
स्रोत