Какой ответ следует предпринять для продолжения попытки взлома веб-приложения?
У меня проблемы с непрерывной согласованной попыткой взлома на сайте (закодирован в php). Основная проблема - попытки внедрения sql, выполняемые на сервере Debian.
Вторичный эффект этой проблемы заключается в том, что спайдеры или неоднократно рассылают спам с помощью URL-адресов, которые, хотя дыра в безопасности была закрыта, по-прежнему, очевидно, связаны с попытками взлома сайта и продолжают добавлять нагрузку на сайт и, следовательно, должны быть заблокированы.
Итак, какие меры я могу предпринять, чтобы:
A: Заблокируйте известных злоумышленников / известные атакующие машины (в частности, сделав себя анонимными с помощью ботнета или ретранслирующих серверов), чтобы их повторный, непрерывный, синхронизированный доступ не влиял на загрузку сайта,
и B: сообщить и ответить на атаку (я знаю, что сообщение в правоохранительные органы почти наверняка бесполезно, так как может сообщать ip/ машине, где происходят атаки, но другие ответы будут приветствоваться).
4 ответа
Для варианта A вы можете исследовать mod_security, однако это то, что вы должны тщательно протестировать, сначала в режиме отчетности.
Я полагаю, ваше заявление разумно закалено:
- пользователь базы данных php подключается, поскольку имеет только достаточные права для выполнения того, что ему требуется
- ваш конфиг php усилен
И что окно, на котором он работает, полностью исправлено и все несущественные службы отключены.
Кроме того, вы можете рассмотреть возможность запуска базы данных на другом хосте.
По моему опыту, вы ничего не можете сделать, кроме как заблокировать нарушающие IP-адреса. Вероятно, не мешало бы привлечь стороннюю компанию для проведения аудита безопасности, если вы стали регулярной целью и в прошлом были обнаружены недостатки. Мы использовали компанию под названием 7safe, чтобы сделать это.
Если IP исходит из вашей собственной страны, и попытка взлома была успешной, привлечение полиции не является плохой идеей. Нам повезло с этим здесь, в Великобритании.
Я наблюдал за некоторыми попытками взлома моего собственного сайта ранее сегодня. Излишне говорить, что они никуда не попали! Но взлом - это факт жизни в интернете.
По моему опыту, сообщение о поведении владельцу сетевого блока в вежливом электронном письме, хотя оно и не очень часто эффективно, все же может иметь более удовлетворительный результат, чем полагаться на правоохранительные органы вашего местного или злоумышленника. Особенно, если они предоставляют адрес "злоупотребления".
Просто предоставьте им записи в журнале, показывающие проблему (не забудьте предоставить сведения о любых преобразованиях часовых поясов для дат / времени).
Несмотря на то, что вы можете начать блокировать доступ с этих адресов, вы можете подумать о реализации чего-то вроде fail2ban с помощью автоответчика PHP - поэтому, если вы обнаружите кого-то непослушного, вы можете автоматически заблокировать его доступ с помощью брандмауэра ОС.
Мой стандартный ответ на это остается тем же: вы не можете остановить людей от попыток делать плохие вещи в Интернете. Атаки, которые вы видите, несомненно, являются автоматизированными и широкополосными: они не предназначены специально для вашего сайта, они преследуют любой уязвимый сайт в любом месте.
Вы можете потратить огромное количество усилий на то, чтобы отследить "известных плохих" хостов, отследить потенциальных клиентов, сыграв детектив; но единственно полезная вещь, которую вы можете сделать, - это защитить вашу систему от своего приложения (приложение запускается как непривилегированный пользователь, возможно, имеет доступ к root, разумные ограничения, обновленное ядро и т. д.), защитить приложение от его пользователей (надежная аутентификация авторизация, заполнение SQL-запросов, ручное тестирование с помощью инструментов веб-безопасности) и мониторинг успешных попыток несанкционированного доступа.