it-swarm.com.de

Ich habe jemanden entdeckt, der meine Website auf Schwachstellen untersucht. Was kann ich dagegen tun?

Meine Website wurde von einer Reihe von IPs aus Marokko geprüft (versucht, Formulare einzureichen, potenzielle URLs auszuprobieren, Skripte auszuführen usw.). Ich habe den starken Verdacht, dass es sich um dieselbe Person handelt, nachdem ich das Muster ihres Verhaltens beobachtet habe . In den Protokollen scheinen sie keine Schwachstellen gefunden zu haben. Ich bin mir nicht sicher, was ich dagegen tun soll, außer weiter zu beobachten. Das Blockieren der IP scheint nicht sinnvoll zu sein, da es sich zu ändern scheint.

Kann ich an dieser Stelle etwas dagegen tun?

27
Jad S

Willkommen im Internet! Dies ist die normale Situation, Business as usual.

Sie müssen nichts weiter tun, als Ihre Website zu härten. Solche Sonden treten ständig an jedem Ort auf, Tag und Nacht. Einige Leute nennen das "freiwillige Stifttests".

Abhängig von Ihrer Site gibt es einige Tools, mit denen Sie diese Art von Sonden von der Site fernhalten können. Wordpress Websites haben ein paar Plugins (Sie können im Plugins-Verzeichnis nach Sicherheits-Plugins suchen), und ich glaube, dass die anderen beliebten Plattformen da draußen gleichwertige Plugins haben werden.

Ein anderes Tool, das ich normalerweise benutze, ist fail2ban. Es kann Ihre Webserver-Protokolldateien analysieren und entsprechend reagieren.

66
ThoriumBR

Der erste Schritt außerhalb der sofortigen Suche nach einer Lösung besteht darin, einen Pentest Ihrer eigenen Site durchzuführen und sich tatsächlich darüber im Klaren zu sein, welche Schwachstellen auf Ihrer Site vorhanden sind. Wenn Sie nicht wissen, was Sie schützen, wie können Sie es dann schützen?

Schauen Sie sich zunächst die Infrastruktur wie CMS an. Wenn Sie beispielsweise Wordpress verwenden, gibt es Pentesting-Tools für Wordpress ist sowohl als Apps als auch als Cmd-Tools verfügbar. Dh Wordfence , und ich habe - verwendet WPscan auch.

Die zweite Möglichkeit besteht darin, Tools wie OWASP zaproxy zu betrachten, einen Angriffsscan Ihres Netzwerks durchzuführen und eine Liste der Schwachstellen zu erhalten. Nur eine Anmerkung, dass einige davon falsch positiv sein könnten.

Ihre Ergebnisse spiegeln möglicherweise das wider, was bereits gefunden wurde, aber ich denke, dass es hilfreich ist, die Sicherheitslücken auf Ihrer eigenen Website zu kennen.

Der nächste Schritt ist, wie Sie sich über diese Sonden informieren. Wenn es sich um eine manuelle Überprüfung handelt, können Sie auch ein Protokollsammelsystem wie NXLog einrichten

5
NASAhorse

Finden Sie heraus, wonach sie suchen, und verbieten Sie ihre IP für ein oder zwei Monate, wenn sie sie anprobieren. Sie können auch einige PHP) dummy, um sie zu verlangsamen.

Verweisen Sie sie nicht auf andere Websites, um große Downloads zu erhalten, und lassen Sie keine Malware für sie zu finden.

90% sind Wordpress, PHPMyAdmin, Telefonie. Wenn es sich um Skriptkinder handelt, werden dieselben alten Werte angezeigt.

Suchen Sie in Fail2Ban und DenyHosts nach Ideen.

Wenn Sie WP tatsächlich ausführen, können Sie es mit einer Sicherheitslösung sichern.

Erlauben Sie nur ausnahmsweise den Zugriff auf Admin-Tools und Datenbanken. Dies sollte fast nie von einer Internetadresse aus erfolgen, sondern von etwas Lokalem mit einem eigenen Bastion-ähnlichen Schutz.

2
mckenzm

Wenn ich für jeden Scan einen Cent hätte, würde meine Website ...

Wenn Sie Ihre Protokolle überprüfen, werden Sie buchstäblich einen ständigen Strom automatisierter Sonden und Angriffe bemerken. Wenn ich Kunden konsultiere (ich arbeite in der Informationssicherheit), nenne ich dies "Hintergrundgeräusche". Es ist da und jeder Versuch, etwas dagegen zu unternehmen, ist teurer als nur zu akzeptieren, dass es da ist. Ich würde sogar so weit gehen, es herauszufiltern, bevor Sie die Protokolldateien in Ihre Überwachungs-, Alarmierungs-, SIEM- usw. Systeme leiten.

Was Sie tun müssen , ist, Ihre Systeme auf dem neuesten Stand zu halten und zu patchen. Fast alle dieser Angriffe verwenden bekannte und oft recht alte Exploits. Sie fischen nach einfachen Zielen.

Was Sie tun sollten , ist ein wenig Zeit damit zu verbringen, Ihr System zu härten. Richtiges Einrichten von Berechtigungen, Blockieren nicht verwendeter Ports, Deaktivieren nicht verwendeter Software, Ausführen von Dingen unter dedizierten Benutzern, solche Dinge.

Was Sie tun können, insbesondere für eine private Website mit einem lokalen Publikum, ist die Sperrung breiter IP-Bereiche, die zu China, Russland, Europa und/oder China gehören die USA, je nachdem, wo Ihr Publikum nicht ist. Die überwiegende Mehrheit der Angriffe geht auf diese Ursprünge zurück. Wenn Sie beispielsweise in den USA niemanden haben, der Ihre Webseite liest, weil es auf Ihrer Webseite um Ihren örtlichen Hundeclub in Spanien geht, können Sie den Lärm reduzieren, indem Sie sie einfach blockieren an der Firewall. Ich schreibe "can", weil es eigentlich keinen großen Unterschied macht, aber das Rauschen in Ihrem Protokoll reduziert (es wirkt sich auch auf Ihr Google-Ranking aus, aber das ist ein anderes Thema).

0
Tom