Meu site foi atacado recentemente. O que eu faço?

Que tipo de software você está executando em seu site? Esses campos de comentário são personalizados ou algum pacote de software popular? Os pacotes mais populares têm plugins para ajudar a derrotar spambots (conhecidos). Se for personalizado, adicionar um CAPTCHA ajudaria a reduzir o spam.

Além disso, se você souber o IP do "usuário", bloqueie-o de seu site (se tiver essa capacidade) e denuncie-o ao seu provedor de hospedagem (supondo que esteja hospedado por uma empresa remota.) Seu host (leia: deve) ficará feliz em bloquear 16.000 solicitações extras. Especialmente se você estiver em um host compartilhado, pois isso pode afetar o desempenho de seus outros clientes.

primeiro, tente descobrir o que eles fizeram. Eles conseguiram injetar código ou SQL? Eles modificaram seu banco de dados? Eles acessam dados aos quais não deveriam ter acesso?

Suas descrições soam como se eles tivessem feito apenas alguns "ataques" aleatórios sem causar danos reais. Nesse caso, tente configurar uma defesa para os ataques contra os quais você ainda não esteja protegido. Então arme seu fórum com alguns captchas.

Impedir: captchas podem ajudar. Há também ferramentas que verificam o seu site novamente alguns problemas de segurança. Você pode querer usar essa ferramenta.

Alert / Limit: depende do ambiente e do seu hoster. Você sempre pode adicionar uma verificação de IP às suas páginas e simplesmente retornar um acesso negado para IPs específicos, mas a) Eu acho que o IP não será consertado e da próxima vez, alguém inocente receberá o IP eb) existem muitos usuários por trás um IP (proxies da empresa). Então, bloquear um IP não parece ser uma boa ideia.

Se você estiver usando o linux, o 'iptables' permite uma grande liberdade na escolha de uma política para limitar novas conexões de endereços IP ou intervalos de endereços IP. Experimente:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 120/minute -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Eu acho que bloquear o IP é uma boa ideia. O Captcha pode evitar spam, mas 16.000 solicitações por hora aumentam muito a carga do servidor.

Se o ataque se originou de um alcance limitado de IP, então eu simplesmente bloquearia todos eles no iptables. Em seguida, desbloqueie-os uma semana depois.

Se você não tiver, verifique se o seu site está registrando IPs. Você pode fazer um IP WHOIS gratuito em www.dnstuff.com para ver onde a IANA acredita que o endereço IP é originário. Em muitos casos, também fornece ao registrador ou ISP o endereço IP e você pode contatá-los diretamente para denunciá-lo.

Onde o seu site está hospedado? Se o ataque ocorreu dentro de um período de tempo, digamos 10 minutos, ele deve ter acionado um alarme DDOS em algum lugar, já que o volume normal do site provavelmente não é o de muitos pedidos naquele curto período de tempo. Dispositivos como o Barracuda são projetados para basicamente bloquear essas solicitações quando elas são recebidas muito rapidamente. O IIS também tem um recurso semelhante, no qual, se muitas solicitações chegarem ao mesmo tempo, elas pensarão que estão sendo atacadas e, em muitos casos, descarregarão as conexões. Muitas instalações de pesquisa do SharePoint têm esse problema porque o indexador de pesquisa reqeu muita coisa muito rapidamente.

Espero que isso ajude um pouco ou dê algumas ideias sobre o que observar. Você pode adicionar CAPTCHA e outras coisas ao site, mas no final, ataques como esse se resumem a TCP / IP e dispositivos para reconhecer um ataque e impedir ou matar, seu site pode fazer muito para se proteger.