Meu site foi recentemente atacado. O que eu faço?

Essa é a primeira vez para mim. Um dos sites que eu corro foi atacado recentemente. Nem um ataque inteligente - força bruta pura - atingiu todas as páginas e todas as não páginas com todas as extensões possíveis. Publicado com dados de lixo em todos os formulários e tentou postar em alguns URLs aleatórios também. Todos os 16.000 pedidos em uma hora.

O que devo fazer para prevenir / alertar esse tipo de comportamento? Existe uma maneira de limitar a solicitação / hora para um determinado ip / cliente?

Existe um lugar para o qual devo relatar o usuário? Eles parecem ser da China e deixaram o que parece ser um e-mail válido.

Que tipo de software você está executando no seu site? Esses campos de comentários são personalizados ou são alguns pacotes de software populares? A maioria dos pacotes populares possui plugins para ajudar a derrotar spambots (conhecidos). Se for construído de maneira personalizada, adicionar um CAPTCHA definitivamente ajudaria a reduzir o spam.

Além disso, se você conhece o IP do "usuário", bloqueie-o no seu site (se você tiver essa capacidade) e relate-o ao seu host da Web (supondo que você esteja hospedado por uma empresa remota). Seu host (leia: deve) ficará feliz para bloquear 16.000 solicitações extras. Especialmente se você estiver em um host compartilhado, pois isso pode afetar o desempenho de seus outros clientes.

primeiro, tente descobrir o que eles fizeram. Eles conseguiram injetar código ou SQL? Eles modificaram seu banco de dados? Eles obtêm acesso a dados aos quais não deveriam ter acesso?

Suas descrições parecem ter feito apenas alguns "ataques" aleatórios sem causar danos reais. Nesse caso, tente estabelecer uma defesa contra os ataques contra os quais você ainda não está protegido. Então arme seu fórum com alguns captchas.

Prevenir: os captchas podem ajudar. Existem também ferramentas que verificam seu site novamente com alguns problemas de segurança. Você pode querer usar essa ferramenta.

Alerta / Limite: depende do ambiente e do seu hoster. Você sempre pode adicionar uma verificação de IP às suas páginas e simplesmente retornar um acesso negado para IPs específicos, mas a) acho que o IP não será corrigido e da próxima vez, alguém inocente obterá o IP eb) geralmente há vários usuários atrás um IP (proxies da empresa). Portanto, bloquear um IP não parece ser uma boa ideia.

Se você estiver usando o Linux, o 'iptables' permite uma grande liberdade na escolha de uma política para limitar novas conexões de endereços IP ou intervalos de endereços IP. Experimentar:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120 / minute -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Eu acho que bloquear o IP é uma boa ideia. O Captcha pode evitar spam, mas 16000 solicitações por hora aumentam muito a carga do servidor.

Se o ataque se originou de um intervalo limitado de IP, eu simplesmente bloqueia todos eles no iptables. Em seguida, desbloqueie-os uma semana depois.

Se você ainda não o possui, verifique se o site está registrando IPs. Você pode fazer um IP WHOIS gratuito em www.dnstuff.com para ver onde a IANA acredita que o endereço IP se origina. Em muitos casos, ele também fornece ao registrador ou ISP o endereço IP e você pode contatá-los diretamente para denunciá-lo.

Obviamente, você pode bloquear temporariamente o Endereço IP, o único problema com isso é que muitos ISPs utilizam endereços DHCP que, embora o invasor possua esse IP hoje, pode ser diferente amanhã e, mais importante, um usuário legítimo pode obter o IP bloqueado.

Onde seu site está hospedado? Se o ataque ocorreu dentro de um período de tempo, digamos 10 minutos, deveria ter disparado um alarme DDOS em algum lugar, já que o volume normal do site provavelmente não é o número de solicitações nesse curto período de tempo. Dispositivos como o Barracuda faz são projetados para bloquear essencialmente essas solicitações quando elas chegam muito rapidamente. O IIS também possui um recurso semelhante onde, se muitas solicitações chegarem ao mesmo tempo, elas acharão que estão sendo atacadas e, em muitos casos, despejarão as conexões. Muitas instalações de pesquisa do SharePoint têm esse problema porque o indexador de pesquisa solicita muitas coisas rapidamente.

Espero que isso ajude um pouco ou lhe dê algumas idéias sobre o que analisar. Você pode adicionar CAPTCHA e outras coisas ao site, mas no final ataques como este se resumem a TCP / IP e dispositivos para reconhecer um ataque e impedir ou matá-lo, seu site pode fazer muito para se proteger.