Il mio sito è stato analizzato da un gruppo di IP di Morroco (cercando di inviare moduli, provando potenziali URL, cercando di eseguire script ecc.), ho il strong sospetto che sia la stessa persona dopo aver osservato il modello di come si comportano Guardando i log non sembrano aver trovato alcuna vulnerabilità. Non sono sicuro di cosa dovrei fare su questo oltre che continuare a osservare. Bloccare l'IP non sembra utile dato che sembra cambiare.
C'è qualcosa che posso fare a questo punto?
Benvenuti in internet! Questa è la situazione normale, come al solito.
Non devi fare nulla, ma per rafforzare il tuo sito web. Sonde del genere avvengono sempre, su ogni sito, giorno e notte. Alcuni lo chiamano "test di penna volontario".
A seconda del tuo sito, ci sono alcuni strumenti che puoi usare per aiutarti a mantenere quel tipo di probe fuori dal sito. I siti Wordpress hanno un paio di plug-in (puoi cercare plugin di sicurezza nella directory dei plugin), e credo che le altre piattaforme popolari là fuori abbiano plugin equivalenti.
Altro strumento che uso abitualmente è fail2ban. Può analizzare i file di log del server web e reagire di conseguenza.
Il primo passo al di fuori di cercare immediatamente una soluzione è condurre un pentest del tuo sito ed essere effettivamente a conoscenza di quali punti deboli ci sono nel tuo sito. Se non sai cosa stai proteggendo, allora come saprai proteggerlo?
Per prima cosa, guarda l'infrastruttura come CMS. Ad esempio, se si utilizza Wordpress, esistono strumenti di pentesting per Wordpress disponibili sia come app che come strumenti di cmd. cioè Wordfence , e ho usato WPscan anche.
La seconda opzione è di esaminare strumenti come zaproxy OWASP e fare una scansione di attacco della tua rete e ottenere un elenco di vulnerabilità. Solo una nota che alcuni di questi potrebbero essere falsi positivi.
Le tue scoperte potrebbero rispecchiare ciò che è già stato trovato, ma penso che sia utile sapere quali sono le vulnerabilità nel tuo sito.
Il prossimo passo è come stai scoprendo queste sonde. Se si tratta di un controllo manuale, puoi anche prendere in considerazione l'impostazione di un sistema di raccolta dei registri come NXLog
Trova ciò che stanno cercando e blocca il loro IP per un mese o due se lo provano. Potresti anche inventare alcuni PHP per rallentarli.
Non fare riferimento ad altri siti per download enormi e non lasciare che il malware li trovi.
90% will be Wordpress, PHPMyAdmin, Telephony. If they are script kiddies the same old values pop up.
Cerca in Fail2Ban e DenyHosts per le idee.
Se stai effettivamente eseguendo il WP, risolvilo con una soluzione di sicurezza.
Consenti solo l'accesso agli strumenti di amministrazione e qualsiasi database per eccezione, e questo non dovrebbe quasi mai essere da un indirizzo Internet, ma qualcosa di locale con la propria protezione Bastion-like.
Se avessi un centesimo per ogni scansione del mio sito web ...
Letteralmente, se controlli i tuoi registri, noterai un flusso costante di sonde e attacchi automatici. Quando consulto i clienti (lavoro nella sicurezza delle informazioni), chiamo questo "rumore di sottofondo". È lì e qualsiasi tentativo di fare qualcosa è più costoso che accettare che sia lì. Mi spingerò fino a filtrarlo prima di collegare i file di log ai sistemi di monitoraggio, allerta, SIEM, ecc.
Ciò che devi fare è mantenere i tuoi sistemi aggiornati e aggiornati. Quasi tutti questi attacchi utilizzano exploit noti e spesso piuttosto vecchi. Stanno pescando obiettivi facili.
Ciò che dovrebbe fare è dedicare un po 'di tempo a rafforzare il sistema. Impostazione corretta delle autorizzazioni, blocco delle porte inutilizzate, disattivazione del software non utilizzato, esecuzione di roba sotto utenti dedicati, quel tipo di roba.
Ciò che puoi fare, soprattutto per un sito web privato con un pubblico locale, è quello di bloccare ampie gamme IP appartenenti a Cina, Russia, Europa e / o Stati Uniti, a seconda di dove il tuo pubblico non lo è. La stragrande maggioranza degli attacchi ha origine da queste origini e, se non hai nessuno, ad esempio negli Stati Uniti che legge la tua pagina web perché la tua pagina web parla del tuo club locale di cani in Spagna, puoi ridurre il rumore semplicemente bloccandoli al firewall. Scrivo "può" perché non fa molta differenza, in realtà, ma ridurrà il rumore nel registro (influirà anche sul ranking di Google, ma è un argomento diverso).
Blocca tutto il Paese
Controlla ASN e il suo intervallo IP assegnato e blocca tale intervallo IP.
Impronta l'autore dell'attacco utilizzando un agente utente o una libreria JavaScript e allega un captcha strong quando viene rilevata l'impronta digitale.
Ultimo ma non meno importante, proteggi il tuo sito e monitora gli attacchi regolarmente.
Leggi altre domande sui tag web-application attacks defense attack-prevention incident-response