it-swarm-eu.dev

Ho rilevato qualcuno che verificava i punti deboli del mio sito, cosa posso fare al riguardo?

Il mio sito è stato sondato da un gruppo di IP di Morroco (cercando di inviare moduli, provare potenziali URL, provare a eseguire script ecc.), Ho il forte sospetto che sia la stessa persona dopo aver osservato lo schema di come si comportano . Guardando i registri sembra che non abbiano riscontrato alcuna vulnerabilità. Non sono sicuro di cosa dovrei fare al riguardo se non continuare a osservare. Il blocco dell'IP non sembra utile poiché sembra cambiare.

C'è qualcosa che posso fare al riguardo a questo punto?

27
Jad S

Benvenuti in Internet! Questa è la situazione normale, affari come al solito.

Non devi fare nulla, ma per rafforzare il tuo sito web. Sonde del genere si verificano sempre, su ogni sito, giorno e notte. Alcune persone lo chiamano "test volontario con penna".

A seconda del tuo sito, ci sono alcuni strumenti che puoi usare per aiutarti a tenere questi tipi di sonde fuori dal sito. Wordpress hanno un paio di plugin (puoi cercare plugin di sicurezza nella directory dei plugin), e credo che le altre piattaforme popolari là fuori avranno plugin equivalenti.

L'altro strumento che utilizzo di solito è fail2ban. Può analizzare i file di registro del server web e reagire di conseguenza.

66
ThoriumBR

Il primo passo al di fuori della ricerca immediata di una soluzione è condurre un pentest del proprio sito ed essere effettivamente consapevoli delle debolezze che ci sono nel tuo sito. Se non sai cosa stai proteggendo, come farai a proteggerlo?

Innanzitutto, guarda l'infrastruttura come CMS. Ad esempio, se stai usando Wordpress, allora ci sono strumenti di pentest per Wordpress disponibili sia come app che come strumenti cmd. Cioè Wordfence , e ho usato - WPscan anche.

La seconda opzione è quella di esaminare strumenti come OWASP zaproxy e fare una scansione d'attacco della tua rete e ottenere un elenco di vulnerabilità. Solo una nota che alcuni di questi potrebbero essere falsi positivi.

Le tue scoperte potrebbero rispecchiare ciò che è già stato trovato, ma penso sia utile sapere quali sono le vulnerabilità nel tuo sito.

Il prossimo passo è come scoprire queste sonde. Se si trattava di un controllo manuale, puoi anche prendere in considerazione la configurazione di alcuni sistemi di raccolta dei registri come NXLog

5
NASAhorse

Elaborare ciò che stanno cercando e vietare il loro IP per un mese o due se lo provano. Potresti anche fittare un po 'PHP per rallentarli.

Non rimandarli ad altri siti per download ingenti e non lasciare che possano trovare malware.

Il 90% sarà Wordpress, PHPMyAdmin, Telefonia. Se sono kiddie di script, compaiono gli stessi vecchi valori.

Cerca in Fail2Ban e DenyHosts le idee.

Se stai effettivamente eseguendo WP, rafforzalo con una soluzione di sicurezza.

Consentire l'accesso agli strumenti di amministrazione e a qualsiasi database solo per eccezione, e questo non dovrebbe quasi mai provenire da un indirizzo Internet, ma qualcosa di locale con la propria protezione simile a un bastione.

2
mckenzm

Se avessi un centesimo per ogni scansione il mio sito web ottiene ...

Letteralmente, se controlli i tuoi registri, noterai un flusso costante di sonde e attacchi automatizzati. Quando consulto i clienti (lavoro nella sicurezza delle informazioni), chiamo questo "rumore di fondo". È lì e ogni tentativo di fare qualcosa al riguardo è più costoso del solo accettare che sia lì. Vorrei anche arrivare al punto di filtrarlo prima di convogliare i file di log nei sistemi di monitoraggio, avviso, SIEM, ecc.

Quello che devi fai è mantenere i tuoi sistemi aggiornati e patchati. Quasi tutti questi attacchi utilizzano exploit noti e spesso piuttosto vecchi. Stanno pescando obiettivi facili.

Quello che dovresti fare è passare un po 'di tempo a rafforzare il tuo sistema. Configurare correttamente le autorizzazioni, bloccare le porte inutilizzate, disabilitare il software inutilizzato, eseguire roba con utenti dedicati, quel tipo di roba.

Quello che puoi fai, specialmente per un sito web privato con un pubblico locale, è bloccare ampie gamme IP appartenenti a Cina, Russia, Europa e/o USA, a seconda di dove non è il tuo pubblico . La stragrande maggioranza degli attacchi proviene da queste origini e se non hai nessuno negli Stati Uniti, ad esempio, che legge la tua pagina web perché la tua pagina web riguarda il tuo club di cani locale in Spagna, puoi ridurre il rumore semplicemente bloccandoli al firewall. Scrivo "can" perché non fa molta differenza, davvero, ma ridurrà il rumore nel tuo registro (influenzerà anche il tuo posizionamento su Google, ma questo è un argomento diverso).

0
Tom