Come reagire quando sotto attacco

15

Proprio questa settimana qualcuno sta cercando di attaccare il server della compagnia in cui lavoro. Ho notato che hanno cercato di forzare la root force tramite ssh. fail2ban sta gestendo così bene e non ho mai permesso login di password per root in primo luogo, quindi non è un problema, ma sono stati anche dopo il nostro sito web.

Usiamo il framework PHP Laravel che ha degli errori piuttosto prolissi. Devono aver trovato almeno un buco di rivelazione del percorso completo ormai. Ho ispezionato i log di mod_security e sembra che stiano semplicemente eseguendo uno scanner di sicurezza su di noi. Hanno provato un sacco di exploit per software che in realtà non abbiamo installato. Ad ogni modo, sono stati a se per quasi una settimana e sto cominciando a preoccuparmi.

Qual è la cosa migliore da fare in questo momento? Gli attacchi non sono così sofisticati ma sono comunque degli attacchi. Come faccio a convincere il mio capo e i miei colleghi che qualsiasi azione da intraprendere è necessaria?

    
posta 735Tesla 16.03.2014 - 14:42
fonte

4 risposte

7

La soluzione migliore è installare un firewall per applicazioni web come mod_security e applicare le regole per stroncarlo nel calcio. Applica Duo Security , per non consentire comandi sudo non convalidati da un account compromesso.

fr00yl00p says:

  • Configure the system to alert you upon logins (e.g. per mail in sshrc and bashrc)

Questo diventa troppo macchinoso e complesso se si hanno sistemi che eseguono manutenzione, e, g, SNMPv3, qualsiasi tipo di account rsync, ecc. Un meccanismo migliore sarebbe un alias dell'ultimo comando scritto sul terminale ogni volta che si accede. Duo si fermerà molto, quindi dai un'occhiata.

fr00yl00p says:

Let your firewall drop connections with obvious attack patterns. (e.g. http://spamcleaner.org/en/misc/w00tw00t.html)

Questo non è un meccanismo fattibile e dovresti creare una whitelist in parallelo. Considera il fatto che io possa falsificare le connessioni fingendo di essere chiunque. Immagina di generare abbastanza messaggi di spoofing per simulare un CIDR / 16, / 8 o anche / 2.

fr00yl00p says:

Install PHPIDS (https://phpids.org/)

A meno che tu non voglia diventare un analista della risposta agli incidenti, perderai così tanto tempo a caccia di falsi positivi, finirai per ignorare gli avvisi di IDS 'e IPS' Anche le persone DFIR ben addestrate trascorrono ore e ore alla volta costantemente modificante. Per non parlare di qualcuno che non è abituato a usare un IDS, né a interpretarne l'output.

Come per altri consigli, non è necessario bloccare interi intervalli per un server web se si configura un WAF correttamente. Su uno dei miei siti, MI GUADAGNA SEMPRE a mantenere in esecuzione Joomla 1.5 e non mi preoccupo dei compromessi poiché il mio WAF è scritto per consentire solo un POST dal mio indirizzo statico. La sua semplicità al suo meglio. Il mio sito web è progettato SOLO per consentire ai GET di non pubblicare i POST quindi non è necessario eseguire il bezerk sulle regole.

Devi anche essere consapevole, che gran parte del traffico è generato da macchine infette, quindi non stai fermando o bloccando un utente malintenzionato, stai bloccando una macchina infetta. Quindi non andrei fino a bloccare interi blocchi IP in una pagina web. Server di posta, server ssh sicuro. Infatti, dovresti avere un predefinito " BLOCK ALL " sul tuo server web, consentendo SOLAMENTE il tuo indirizzo a servizi come SSH. Tuttavia, i design / esigenze di tutti sono diversi

    
risposta data 17.03.2014 - 20:57
fonte
3
  • Assicurati di aver installato tutte le patch disponibili
  • Configura il sistema per avvisarti degli accessi (ad es. per posta in sshrc e bashrc)
  • Permetti al tuo firewall di eliminare le connessioni con modelli di attacco ovvi.  (ad es. link )
  • Limita la dimensione massima della richiesta, se possibile ( link , link )
  • Installa PHPIDS ( link )
  • Crea un'istantanea dello stato del tuo sistema ( link )  e verificare ogni giorno (o più spesso) con un cron-job
  • Fai un BACKUP!
  • Configura il firewall (basato su host e rete) per limitare anche i pacchetti in uscita
  • Blocca intervalli IP completi che non ti servono. Cerca "whois" per scoprire gli intervalli (ad es. Whois 62.61.60.59 e blocco 62.61.32.0/19). Ma attenzione!
  • Informa il tuo provider.
risposta data 17.03.2014 - 20:11
fonte
1

Metti l'SSH dietro un firewall e richiedi ad una VPN di accedere alla scatola - che elimina un vettore di attacco principale e probabilmente rende più complicato sfruttare qualsiasi penetrazione a livello di applicazione.

    
risposta data 18.03.2014 - 23:12
fonte
0

Vorrei almeno parlare con la tua compagnia di hosting. Possono avere alcuni modi per aiutare, ad esempio bloccando gli intervalli di indirizzi IP prima che possano raggiungerti, forse possono anche impostarti con altri livelli di difesa.

    
risposta data 17.03.2014 - 17:22
fonte

Leggi altre domande sui tag