当你刚刚发现你的网站目前正在试图渗透你的网站的黑客攻击,我不包括拒绝服务在我的问题,你做什么? 是否有最佳实践指导方针?
我发现很多关于黑客攻击后的工作的post,但是当你受到攻击时,你做什么似乎并不清楚。
我主要是谈论IIS和ASP.net网站,但这个问题是与所有面向互联网的网站有关。
假设该站点位于防火墙之后,并logging所有请求和信息。
我的想法是:
还有其他build议的行动还是最佳做法?
当你受到攻击的时候,除了试图阻止攻击的起因,通常是徒劳的,因为它们是一个移动的目标。 这种攻击通常是使用受损系统完成的,其编号从几千到几百万不等。 阻止它们就像在夏天杀死苍蝇一样 – 你停下来的每一个人都有许多其他人来取代它。
人生太短,除非你在寻找一些非常具体的东西,否则就不能通过networking日志。 但是,您可以尝试阻止url中的攻击string,或者限制对login或其他可能存在漏洞的网页等内容的访问。 一旦完成,你的时间最好花在确保你有一个可靠的备份准备,并希望攻击失败。
我的一个网站在过去的3到4周内一直受到攻击。 这是一个简单的尝试login攻击,使用分布式系统。 攻击本身从一开始就注定要失败,因为我的网站没有默认的login帐户。 但是,为了减轻Web服务器上的负载,任何尝试从除家庭以外的IP地址到达login页面都会导致404错误。 我不能阻止这次袭击,但是我可以使它无效。
如果是单一来源(或有限数量的来源),请确定源地址并在防火墙上阻止它们。 如果发生分布式攻击,请联系您的ISP。 使网站脱机可以是缓解即时威胁的临时对策,直到漏洞得到修复,但这当然不是永久的解决scheme。
根据攻击types的不同,在某些情况下,您可能会忽略它,例如,当您的Web应用程序位于Web应用程序防火墙(如ModSecurity)后面时,它将只允许已知的stream量。 在密码猜测运行的情况下,每个源地址的速率限制连接可能是有效的。
首先 – 抓住一大张纸和一些笔 – 记下你捕捉到的所有东西,每一个动作。 如果可能的话,logging你的屏幕
– >你会做很多改变,其中一些将需要回滚。 – >您将需要certificate您对这些失败没有责任,也许会有后续涉及的法律案件
第二:不要惊慌 – 在采取任何行动之前三思,抓住周围的同事并讨论行动
第三:收集任何types的数据,在采取行动之前search并重新思考。 尝试阻止IP,networking,用户等
取下服务器总是不得已而为之。
如果攻击似乎越来越大,请考虑要求外部帮助(例如提供商的CERT)
最后:当攻击结束时,检查你所有的数据,找出启用攻击的安全问题并修复它们!
TSG