当您刚刚检测到您的网站目前正遭受黑客攻击,并试图侵入您的网站时,我的问题中不包括拒绝服务,您会怎么做?是否有最佳实践指南可供遵循?
我发现了很多关于被黑客攻击后该做什么的帖子,但是当你受到攻击时该做什么似乎并不清楚。
我主要谈论的是 IIS 和 ASP.net 网站,但这个问题与所有面向互联网的网站都相关。
假设该站点位于防火墙后面,并且所有请求和信息都已被记录。
我的想法是:
- 检查日志,获取客户端 IP 并在防火墙上阻止它们
- 如果这不能减缓或阻止攻击者(即与多个攻击者协同攻击)的速度,则暂时将网站和服务器离线
还有其他建议的行动或最佳做法吗?
答案1
当你受到攻击时,除了尝试阻止攻击源头之外,你几乎无能为力,但这通常是徒劳的,因为它们是移动目标。此类攻击通常使用受感染的系统进行,数量从几千到数百万不等。阻止它们就像在夏天杀死苍蝇一样 - 每阻止一只苍蝇,就会有无数只苍蝇来取代它。
生命太短暂,没有时间浏览网络日志,除非您要查找非常具体的内容。但是,您可以尝试阻止 URL 中的攻击字符串,或限制对登录或其他潜在易受攻击页面等内容的访问。完成这些操作后,您最好花时间确保准备好可靠的备份,并希望攻击失败。
大约在过去的 3 或 4 周里,我的一个网站一直受到攻击。这是一次简单的尝试登录攻击,使用分布式系统。由于我的网站没有默认登录帐户,因此攻击本身从一开始就注定要失败。但是,为了减轻 Web 服务器的负载,现在任何从我家以外的 IP 地址访问登录页面的尝试都会导致 404 错误。我无法阻止攻击,但我可以使其无效。
答案2
如果存在单一来源(或有限数量的来源),请识别来源地址并在防火墙上阻止它们。如果存在分布式攻击,请联系您的 ISP。在漏洞修复之前,将网站下线可以作为缓解直接威胁的临时对策,但这肯定不是永久的解决方案。
根据攻击类型,您甚至可以在某些情况下忽略它,例如当您的 Web 应用程序位于仅允许已知良好流量的 Web 应用程序防火墙(如 ModSecurity)后面时。在密码猜测的情况下,限制每个源地址的连接速率可能会有效。
答案3
首先,准备好一张大纸和几支笔,记下你看到的一切、你采取的每一个行动。如果可能的话,记录你的屏幕
-> 您将进行许多更改,其中一些更改需要回滚。-> 您将需要证明您对失败不负有责任,也许以后会涉及法律案件
第二:不要惊慌 - 采取任何行动前要三思 - 抓住周围的任何同事并讨论行动
第三:收集任何类型的数据,搜索并三思而后行。尝试封锁 IP、网络、用户等。
关闭服务器永远是最后的手段。
如果攻击似乎变得更大,请考虑寻求外部帮助(例如您的提供商的 CERT)
最后:当攻击结束后,请检查您拥有的所有数据,找出导致攻击的安全问题并修复它们!!!
特斯加