Как защитить php app (vbulletin) от хакеров
Наша система vBulletin постоянно подвергается атакам, что увеличивает нагрузку на процессор и делает систему очень медленной для законных пользователей. Атака представляет собой атаку типа сценария, которая пытается войти в систему и / или создать новые идентификаторы входа (в основном это попытка создать идентификаторы входа для спама на сайте).
В vBulletin у нас есть черный список больших диапазонов ips, что очень помогло, но атаки продолжаются.
Существует ли автоматический способ защиты приложения или веб-сервера?
в идеале, защита будет обнаруживать доступ к страницам и автоматически помещать в черный список IP-адреса.
5 ответов
Помимо приведенных выше ответов, вы можете использовать Bad Behavior, который представляет собой фильтр уровня PHP, основанный на нескольких открытых BL и собственном BL-агенте. Он уже интегрирован с vBulletin.
Фильтрация нормального трафика от хаков затруднена. Как это сделать, зависит от того, почему трафик потребляет чрезмерную нагрузку на ваш сервис.
Если это поток SYN, вы можете уменьшить это с помощью правил брандмауэра, которые ограничивают количество соединений, которые может открыть хост. Это легко сделать, используя iptables с модулем connlimit.
Вы могли бы рассмотреть возможность использования cloudflare или чего-то в этом роде или вашего собственного обратного прокси-сервера, чтобы снять нагрузку на обработку явно недействительных запросов от вашей реальной службы.
Если DoS является результатом эксплойта в vBulletin, вы должны решить эту проблему с помощью поставщика приложения и патча.
В зависимости от "сигнатуры" атаки, вы также можете использовать fail2ban. Например, если они продолжают пытаться войти, защита 5 попыток входа в систему vbulletin недостаточна, поскольку сервер все равно будет обслуживать контент. Используя fail2ban, вы можете настроить его так, что если кто-то вызывает сценарий входа более, чем, например, 5 раз в течение 5 минут, он добавит правило-I DROP iptable для этого IP.
Если это DDoS, вам может потребоваться связаться с вашим провайдером и помочь вам смягчить это.
Наконец, разумно зайти в ваш каталог admincp и всегда проверять, есть ли установленные плагины / продукты, которые не "складываются".
Если вы укажете, что вы подразумеваете под "атакой", вы, вероятно, получите лучшие ответы.
Приведенные выше ответы в основном относятся к атакам на уровне сети. Я предполагаю, что вы говорите о безопасности приложений. Хорошее решение для вставки:
Используйте WAF (брандмауэр веб-приложений). Существует довольно много решений с закрытым исходным кодом / под ключ, но в зависимости от вашего веб-сервера вы можете использовать:
- naxsi для Nginx - https://code.google.com/p/naxsi/
- mod_security для Apache - http://www.modsecurity.org/
Применяются обычные требования: следите за исправлением серверов, отслеживайте журналы и т. Д.
Вы можете найти больше информации о WAF в целом на превосходной странице OWASP: https://www.owasp.org/index.php/Web_Application_Firewall
Вы можете использовать http://www.spambotsecurity.com/zbblock.php и http://sourceforge.net/projects/iosec/ Эти php-скрипты очень помогли решить ту же проблему на наших форумах.