La gente sta cercando di hackerare il mio sito web?

2

Sul mio sito web ho aggiunto una piccola funzione, che registra l'IP, le informazioni sul client / browser, il percorso e un timestamp.

Oggi ho controllato il mio database e ho ricevuto molte richieste strane.

Ecco alcuni di questi:

Qualcun altro ha problemi simili e dovrei essere preoccupato?

    
posta KaareZ 07.11.2015 - 12:54
fonte

3 risposte

6

Non è necessario essere preoccupati, a meno che la configurazione non sia sicura.

Le prime richieste cercano un giudice proxy come link . La seconda tabella mostra gli scanner di vulnerabilità alla ricerca di applicazioni configurate in modo errato o obsolete. Questo è abbastanza normale "rumore" ed effetti quasi ogni IP server dedicato.

Potresti provare a bloccarli, ma ce ne sono così tanti che non ne vale la pena. Assicurati che qualsiasi pagina di accesso abbia un limite ragionevole per i tentativi di accesso massimo in un dato momento e che il tuo software sia aggiornato. Anche cose come phpmyadmin non dovrebbero essere accessibili pubblicamente.

    
risposta data 07.11.2015 - 13:07
fonte
2

molti robot stanno effettuando la scansione per la violazione del server e molti siti Web sono esposti a questo tipo di attacchi, la maggior parte delle volte le soluzioni sono semplici:

  • utilizzando una password complessa (il migliore è usare caratteri speciali come ¥, §, À, ±, ..)
  • avere un sistema aggiornato (e anche CMS)
  • cercando di evitare il terzo componente
  • utilizzando un firewall per aprire solo la porta in ingresso utilizzata
  • chiusura dell'accesso al database su Internet
  • utilizzando la restrizione ip per lo strumento di amministrazione sensibile
  • utilizzando uno strumento di registro

Thoose sono attacchi dei robot comuni:

forza bruta

questo è il metodo prova a trovare l'accesso di accesso inviando la richiesta di accesso e poi testando il risultato, purché il risultato non sia loggato, riprova un'altra combinazione di login / password fino a quando l'accesso non è concesso

principalmente indirizzato su internet:

  • FTP (solito porta 21)
  • SSH (solita porta 22)
  • TS (solita porta 3389)
  • Pagine di accesso al sito Web (solito porta 80 & 443)

per prevenire questo tipo di attacchi:

  • (se possibile) modifica della porta predefinita
  • con una password complessa
  • cercando di evitare l'uso del nome di accesso di base (admin / root / administrator, ...)
  • con un temporizzatore di "tentativo fallito", in quanto ci vorrà troppo tempo per trovare la combinazione perfetta di login / password.

è necessario conoscere la prima fase di questo tipo di attacchi al sito Web, è trovare quali strumenti Web si usano (nome CMS, phpmyadmin, ...), una volta trovata forza bruta può iniziare. Per l'applicazione è più semplice trovare una semplice scansione delle porte che usi lo strumento di sistema.

Oggi la maggior parte degli strumenti di sistema sono sicuri contro questo tipo di attacchi, ecco perché oggigiorno si concentrano sul sito web.

violazione della sicurezza nota

molte persone usano CMS open source, dato che è possibile sfruttare il codice open source. Tutte le violazioni vengono rilevate e protette dal dev, ma non tutti gli amministratori del server eseguono gli aggiornamenti. Quindi una volta risolta la violazione, la violazione diventa nota al pubblico (come Heartbleed, Poodler, ...). Ogni volta che i bot vengono aggiornati con nuove informazioni, cercando il sito esposto alla vulnerabilità.

per prevenire questo tipo di attacchi:

  • con un (ben) sito autosufficiente
  • aggiornare il tuo sistema (e gli strumenti web)
  • non utilizza i nomi di cartella predefiniti
  • lettura di documenti su come proteggere il tuo CMS, i tuoi contenuti esposti e il tuo codice
  • blocco di strane richieste per prevenire attacchi prima di tentativi con la configurazione del server.

questo è un esempio delle regole di blocco per il server Apache:

<Directory />
#Block user agent empty or with suspicious values
RewriteCond %{HTTP_USER_AGENT} ^-?$|\x.*?\x|perl|python [NC,OR]
#Block default folders (optional, but prevent 404 logs)
RewriteCond %{REQUEST_URI} MyAdmin|\/pma\/|\/phpmyadmin| [NC,OR]
#Limit request to thoose requiered
RewriteCond %{REQUEST_METHOD} !^(GET|HEAD|POST)$ [OR]
#blocking request who not start by /
RewriteCond %{REQUEST_URI} !^/
#all thoose redirect to the error code you want, i like to use 406 in my case
RewriteRule .* - [END,R=406]
</Directory>

come la maggior parte dei bot sono bloccati prima di poter testare la violazione del tuo sito web.

A proposito, se si tiene d'occhio registri e annoncement di sicurezza, è possibile aggiornare le regole per aumentare la protezione dei robot.

Bonus per i programmatori

non temere i robot o gli hacker, la maggior parte delle volte ci sono solo 4 cose principali da proteggere:

  • pagine di accesso
  • codice di iniezione
  • carica pagine
  • cross server

non dimenticare i backup, può essere utile!

    
risposta data 08.11.2015 - 01:26
fonte
1

Sì, sembra che qualcuno stia spaccando le maniglie delle porte metaforiche del tuo sito. È comune su Internet moderno, ci sono molti strumenti automatici per farlo e poco si può fare per impedirlo oltre a bloccare i bastardi. In particolare, sembra che uno strumento automatico stia verificando se il tuo spazio web potrebbe includere determinati strumenti amministrativi le cui versioni precedenti hanno vulnerabilità note. Tali strumenti sono una superficie di attacco comune per i futuri tentativi di penetrazione.

In generale non dovresti presumere che l'attacco sia mirato in modo specifico contro il tuo sito web finché non ci sono ragioni specifiche per pensare diversamente. È anche altamente probabile che non sarai in grado di fare una buona attribuzione verificando il proprietario dell'indirizzo IP (che potresti comunque voler fare); la scansione della vulnerabilità più automatizzata proviene da botnet in esecuzione su PC zombificati (e nodi IOT) al giorno d'oggi. Se ti senti educato, se il traffico è particolarmente elevato, o se ti capita di sapere chi c'è dietro gli indirizzi IP, potresti mandargli una lettera a riguardo; spesso, l'amministratore di sistema locale non sa nemmeno che alcuni dei loro computer sono diventati zombi. Ma è un po 'di lavoro e molte persone non ritengono che ne valga la pena. Inoltre, ci sono molti amministratori che non conoscono gli zombi sulla loro rete perché a loro non interessa.

Potresti voler prendere in considerazione tecniche di mitigazione come il blocco automatico quando le esplosioni di attività indesiderate sembrano provenire da un singolo indirizzo IP o intervallo di rete. Considera, tuttavia, che in alcuni casi potresti trovare strani robot che trascinano il tuo sito web come una buona cosa. Un esempio canonico è quello di garantire che i motori di ricerca siano a conoscenza dei meravigliosi prodotti che il tuo sito di e-commerce potrebbe offrire. Considera anche gli scenari in base ai quali tali regole di lock-out potrebbero rilevare falsi positivi e intralciare il traffico legittimo.

    
risposta data 03.04.2018 - 17:54
fonte

Leggi altre domande sui tag