Que resposta deve ser dada a uma tentativa continuada de quebra de web-app?

2

Eu tenho problemas com uma tentativa de cracking contínua e combinada em um site (codificado em php). O principal problema são tentativas de injeção de SQL, rodando em um servidor Debian.

Um efeito secundário do problema é ser spidered ou repetidamente spammed com urls que, apesar de uma falha de segurança ter sido fechada, ainda estão obviamente relacionadas tentativas de crackear o site, e continuar a adicionar carga ao site, e assim deve ser bloqueado.

Então, quais medidas eu posso tomar para:

R: Bloqueie os intrusos conhecidos / máquinas de ataque conhecidas (notavelmente tornando-se anônimos através de botnet ou servidores de retransmissão) para evitar que o acesso repetido, contínuo e cronometrado afete a carga do site,

e B: relatório & responder ao ataque (estou ciente de que a denúncia para a aplicação da lei é quase certamente fútil, como pode estar reportando ao ip / machine onde os ataques são originários, mas outras respostas a serem respondidas seriam bem-vindas).

    
por Kzqai 14.03.2011 / 23:34

4 respostas

2

Para a opção A você pode investigar mod_security , no entanto, isso é algo que você deve testar completamente, inicialmente em um modo de relatório.

Presumo que sua inscrição seja razoavelmente reforçada:

  • o usuário do banco de dados php se conecta como somente tem permissões suficientes para fazer o que eles exigem
  • sua configuração do php é endurecida

E que a caixa em que está sendo executada é totalmente corrigida e tem todos os serviços não essenciais desativados.

Além disso, você poderia considerar a execução do banco de dados em um host diferente.

    
por 14.03.2011 / 23:58
2

Na minha experiência, não há muito o que você pode fazer além de bloquear os IPs ofensivos. Provavelmente não faria mal se uma empresa externa fizesse uma auditoria de segurança se você se tornasse um alvo regular e se falhasse no passado. Nós usamos uma empresa chamada 7safe para fazer isso.

Se o IP tiver origem no seu próprio país e a tentativa de invasão tiver sido bem-sucedida, envolver a polícia não é uma má ideia. Tivemos um pouco de sorte com isso aqui no Reino Unido.

Eu estava assistindo algumas tentativas de invasão contra o meu próprio site hoje cedo. Escusado será dizer que eles não chegaram a lugar nenhum! Mas hackear é um fato da vida na internet.

    
por 15.03.2011 / 00:05
1

Minha resposta padrão a essa permanece a mesma : você não pode impedir que as pessoas tentem fazer coisas ruins na internet. Os ataques que você está vendo são, sem dúvida, automatizados e de banda larga: eles não estão atrás do seu site particularmente, eles estão atrás de qualquer site vulnerável em qualquer lugar.

Você pode gastar uma grande quantidade de esforço perseguindo hosts conhecidos, acompanhando leads, fazendo o detetive; mas a única coisa útil que você pode fazer é proteger seu sistema contra sua aplicação (app executado como usuário não privilegiado, possivelmente ulimits chrooted, razoáveis, kernel atualizado, etc), proteger o aplicativo contra seus usuários (autenticação confiável e autorização, construção de consulta SQL de espaço reservado, teste de pena com ferramentas de segurança da Web) e monitoração de tentativas bem sucedidas de acesso não autorizado.

    
por 15.03.2011 / 00:03
1

Na minha experiência, reportar o comportamento do proprietário do netblock em um e-mail educado, embora não seja muito eficaz, ainda é provável que tenha um resultado mais satisfatório do que depender da aplicação da lei local local ou do invasor. Particularmente, se eles fornecem um endereço de 'abuso'.

Basta fornecer entradas de registro mostrando o problema (lembre-se de fornecer detalhes de qualquer conversão de fuso horário para datas / horários).

Enquanto você pode começar a bloquear o acesso a partir desses endereços, você pode querer considerar a implementação de algo como 'fail2ban' através de um autoprependente PHP - então se você detectar alguém sendo travesso você pode bloquear automaticamente o acesso usando o firewall do SO.

    
por 15.03.2011 / 13:03