He detectado que alguien está investigando mi sitio en busca de puntos débiles, ¿qué puedo hacer al respecto? [duplicar]

Navega tus respuestas
27

Mi sitio ha sido investigado por un grupo de IPs de Marruecos (intentando enviar formularios, probando URL potenciales, intentando ejecutar scripts, etc.), tengo una fuerte sospecha de que es la misma persona después de observar el patrón de como se comportan En cuanto a los registros, parece que no han encontrado ninguna vulnerabilidad. No estoy seguro de lo que debería hacer al respecto, aparte de seguir observando. Bloquear la IP no parece útil ya que parece cambiar.

¿Hay algo que pueda hacer al respecto en este momento?

    
pregunta Jad S 05.11.2018 - 15:00
fuente

5 respuestas

67

¡Bienvenido a internet! Esta es la situación normal, como siempre.

No tiene que hacer nada, sino endurecer su sitio web. Sondeos como ese ocurren todo el tiempo, en cada sitio, día y noche. Algunas personas lo llaman "prueba voluntaria de la pluma".

Dependiendo de su sitio, hay algunas herramientas que puede usar para ayudarlo a mantener ese tipo de sondas fuera del sitio. Los sitios de WordPress tienen un par de complementos (puede buscar Complementos de seguridad en el directorio de complementos), y creo que las otras plataformas populares tendrán complementos equivalentes.

Otra herramienta que suelo emplear es fail2ban. Puede analizar los archivos de registro de su servidor web y reaccionar en consecuencia.

    
respondido por el ThoriumBR 05.11.2018 - 15:08
fuente
5

El primer paso fuera de buscar una solución de inmediato es llevar a cabo un pentest de su propio sitio y ser consciente de las debilidades que existen en su sitio. Si no sabe qué está protegiendo, ¿cómo sabrá cómo protegerlo?

Primero, mire la infraestructura como CMS. Por ejemplo, si está usando Wordpress, entonces hay herramientas de control de prueba para Wordpress disponibles como aplicaciones y herramientas de cmd. es decir, Wordfence , y he usado WPscan también.

La segunda opción es buscar herramientas como OWASP zaproxy y realizar un análisis de ataques de su red y obtener un Lista de vulnerabilidades. Solo una nota de que algunos de estos podrían ser falsos positivos.

Sus hallazgos pueden reflejar lo que ya se ha encontrado, pero creo que es útil saber cuáles son las vulnerabilidades en su propio sitio.

El siguiente paso es cómo se está enterando de estas sondas. Si fue una comprobación manual, también puede considerar configurar algún sistema de recopilación de registros como NXLog

    
respondido por el NASAhorse 05.11.2018 - 16:18
fuente
2

Calcule lo que están buscando y prohíba su IP por un mes o dos si lo prueban. También puedes usar un poco de PHP para ralentizarlos.

No los refiera a otros sitios para grandes descargas, y no deje que el malware los encuentre.

  

El 90% será Wordpress, PHPMyAdmin, Telefonía. Si son guiones de niños, aparecerán los mismos valores antiguos.

Mire en Fail2Ban y DenyHosts para obtener ideas.

Si realmente está ejecutando WP, refuérzelo con una solución de seguridad.

Solo permita el acceso a las herramientas de administración y cualquier base de datos por excepción, y esto casi nunca debería ser desde una dirección de Internet, sino algo local con su propia protección tipo Bastion.

    
respondido por el mckenzm 06.11.2018 - 03:09
fuente
0

Si tuviera un centavo por cada análisis que obtenga mi sitio web ...

Literalmente, si revisa sus registros, notará un flujo constante de sondas y ataques automatizados. Cuando consulto a clientes (trabajo en seguridad de la información), llamo a esto "ruido de fondo". Está ahí y cualquier intento de hacer algo al respecto es más costoso que simplemente aceptar que está allí. Incluso me atrevería a filtrarlo antes de colocar los archivos de registro en sus sistemas de monitoreo, alerta, SIEM, etc.

Lo que debes hacer es mantener tus sistemas actualizados y parcheados. Casi todos estos ataques están usando exploits bien conocidos y, a menudo, bastante antiguos. Están pescando para objetivos fáciles.

Lo que debes hacer es dedicar un poco de tiempo a fortalecer tu sistema. Configurar los permisos correctamente, bloquear los puertos no utilizados, deshabilitar el software no utilizado, ejecutar cosas bajo usuarios dedicados, ese tipo de cosas.

Lo que puede hacer, especialmente para un sitio web privado con público local, es bloquear los amplios rangos de IP que pertenecen a China, Rusia, Europa y / o los EE. UU., dependiendo de dónde se encuentre su público. no es La gran mayoría de los ataques se originan en estos orígenes, y si no tiene a nadie, digamos, EE. UU. Que lee su página web porque su página web es sobre su club de perros local en España, puede reducir el ruido simplemente bloqueando su salida. en el firewall. Escribo "can" porque en realidad no hace mucha diferencia, pero reducirá el ruido en su registro (también afectará su clasificación de Google, pero ese es un tema diferente).

    
respondido por el Tom 06.11.2018 - 14:06
fuente
-5

  1. Bloquea todo el país

  2. Compruebe ASN y su rango de IP asignado, y bloquee ese rango de IP.

  3. Haga una huella digital del atacante utilizando un agente de usuario o una biblioteca de JavaScript y adjunte un captcha fuerte cuando se detecte la huella digital.

Por último, pero no menos importante, asegure su sitio y supervise los ataques con regularidad.

    
respondido por el Moonsik Park 05.11.2018 - 15:07
fuente

Lea otras preguntas en las etiquetas

¿Por qué algunas personas realmente odian la seguridad a través del lado del cliente? ¿Cómo lograr un equilibrio entre las políticas de seguridad y los desafíos de implementación práctica? [duplicar]