Какой протокол следует соблюдать, если сайт активно атакован?

Question

Какой протокол следует соблюдать, если сайт активно атакован?

Когда вы только что обнаружили, что ваш сайт в настоящее время подвергается хакерской атаке, которая пытается проникнуть на ваш сайт, я не включаю Отказ в обслуживании в мой вопрос, что вы делаете? Существуют ли рекомендации по передовому опыту?

Я нашел много постов о том, что вы делаете после взлома, но что вы делаете, когда на вас нападают, не ясно.

Я в первую очередь говорю о сайтах IIS и ASP.net, но этот вопрос актуален для всех сайтов, с которыми сталкивается Интернет.

Предположим, что сайт находится за брандмауэром, и все запросы и информация регистрируются.

Мои мысли:

Проверьте логи, получите IP-адрес клиента и заблокируйте его на брандмауэре.
Если это не замедляет или не останавливает злоумышленников, то есть скоординированную атаку с несколькими злоумышленниками, временно отключите сайт и сервер от сети.

Есть ли другие рекомендуемые действия или лучшие практики?

5

security hacking best-practices

Источник

SetiSeeker 18 янв '13 в 11:47

3 ответа

Другие вопросы по тегам security hacking best-practices

John Gardeniers 18 янв '13 в 12:09 2013-01-18 12:09 · Answer 1 · 2013-01-18 12:09

Когда вы находитесь под атакой, вы ничего не можете сделать, кроме как попытаться заблокировать начало атаки, что обычно довольно бесполезно, поскольку они являются движущейся целью. Такие атаки обычно выполняются с использованием скомпрометированных систем, насчитывающих от нескольких тысяч до многих миллионов. Блокировать их - это все равно, что убивать мух летом - для каждого, кого вы остановите, есть множество других, которые займут его место.

Жизнь слишком коротка, чтобы просматривать веб-журналы, если вы не ищете что-то довольно конкретное. Однако вы можете попытаться заблокировать строки атаки в URL-адресах или ограничить доступ к таким вещам, как вход в систему или другие потенциально уязвимые страницы. Как только это будет сделано, лучше всего потратить время на то, чтобы подготовить надежную резервную копию и надеяться, что атака не удастся.

Один из моих сайтов подвергался атаке в течение последних 3 или 4 недель. Это простая попытка атаки с использованием распределенных систем. Сама атака была обречена на провал с самого начала, так как мои сайты не имеют учетной записи по умолчанию. Однако для облегчения загрузки веб-сервера любая попытка получить доступ к странице входа с IP-адреса, отличного от моего дома, теперь приводит к ошибке 404. Я не могу остановить атаку, но могу сделать ее неэффективной.

Ansgar Wiechers 18 янв '13 в 12:07 2013-01-18 12:07 · Answer 2 · 2013-01-18 12:07

В случае одного источника (или ограниченного количества источников) идентифицируйте адреса источника и заблокируйте их на брандмауэре. В случае распределенной атаки обратитесь к вашему провайдеру. Перевод веб-сайта в автономный режим может быть временной мерой противодействия немедленным угрозам до тех пор, пока уязвимость не будет устранена, но это определенно не является постоянным решением.

В зависимости от типа атаки вы можете даже игнорировать ее в некоторых ситуациях, например, когда ваше веб-приложение находится за брандмауэром веб-приложения (например, ModSecurity), который пропускает только заведомо исправный трафик. В случае угадывания пароля может быть эффективным ограничение скорости соединения для адреса источника.

Truebsalgeblaese 18 янв '13 в 12:10 2013-01-18 12:10 · Answer 3 · 2013-01-18 12:10

Прежде всего - возьмите с собой большой лист бумаги и несколько ручек - делайте заметки обо всем, что бросается в глаза, о каждом вашем действии. Если возможно, запишите свой экран

-> Вы внесете много изменений, некоторые из которых нужно будет откатить. -> Вам потребуется доказать, что вы не несете ответственности за сбои, возможно, в дальнейшем будут возникать судебные дела

Второе: не паникуйте - подумайте дважды, прежде чем предпринимать какие-либо действия - хватайтесь за любого находящегося рядом сотрудника и обсуждайте действия

Третье: собирать любые данные, искать их и переосмысливать, прежде чем предпринимать какие-либо действия. Попробуйте заблокировать IP, сеть, пользователя и т. Д.

Снятие сервера всегда в крайнем случае.

Если кажется, что атака усиливается, подумайте о вызове внешней помощи (например, CERT вашего провайдера)

Последнее: когда атака завершится, проверьте все имеющиеся у вас данные, определите проблемы безопасности, которые позволили провести атаку, и ИСПРАВИТЕ ИХ!!!

отсчет по радионавигационной системе, полученный при использовании пространственной волны от ведущей станции и поверхностной волны от ведомой станции