攻撃を受けたときの反応

Question

ちょうど今週、誰かが私が働いている会社のサーバーを攻撃しようとしました。私は彼らがsshを介してルートを総当たり攻撃しようとしていることに気づきました。 fail2banはそれをうまく処理しており、そもそもrootのパスワードログインを許可していなかったので、それは実際には問題ではありませんが、私たちのWebサイトの後もそうです。

Laravel PHPフレームワークにはかなり冗長なエラーが含まれています。少なくとも、完全なパスの開示ホールが見つかったはずです。私はmod_securityを調べました。ログとセキュリティスキャナーを実行しているだけのようです。実際にインストールしていないソフトウェアのエクスプロイトを何度も試しています。とにかく、彼らはほぼ1週間もの間、今から始めています。心配になる。

今何をするのが一番良いですか？攻撃はそれほど洗練されていませんが、それでも攻撃です。上司や同僚に、私たちが取らなければならないあらゆる行動が必要であることをどのように説得しますか？

munkeyoto · Accepted Answer

あなたの最善の策は、 mod_security のようなWebアプリケーションファイアウォールをインストールし、ルールを適用してこれを尻に挟むことです。 Duo Security を適用して、セキュリティが侵害されたアカウントからの未検証のSudoコマンドを禁止します。

fr00yl00pさんのコメント：

ログイン時に警告するようにシステムを構成します（例：sshrcおよびbashrcのメールごと）

メンテナンスを実行するシステム（SNMPv3、任意の種類のrsyncアカウントなど）がある場合、これは面倒で複雑になります。より良いメカニズムは、ログインするたびに端末に書き込まれる最後のコマンドのエイリアスです。Duoは停止しますたくさんチェックしてみてください。

fr00yl00pさんのコメント：

ファイアウォールに明らかな攻撃パターンの接続をドロップさせます。（例 http://spamcleaner.org/en/misc/w00tw00t.html ）

これは実行可能なメカニズムではなく、ホワイトリストを並行して作成する必要があります。私が誰かになりすました接続を偽装できるという事実を考えてみてください。たとえば、CIDR/16、/ 8、さらには/ 2をシミュレートするのに十分な偽装メッセージを生成するとします。

fr00yl00pさんのコメント：

PHPIDSをインストール（ https://phpids.org/ ）

インシデントレスポンスアナリストになろうとしない限り、誤検知を追跡するのに非常に多くの時間を費やしてしまい、最終的にはIDSとIPSのアラートを無視することになります。 IDSの使用やその出力の解釈に慣れていない人は言うまでもありません。

他の推奨事項と同様に、WAFを適切に構成すれば、Webサーバーの範囲全体をブロックする必要はありません。私のWAFは[〜＃〜]投稿[〜＃〜]静的アドレスから。最高級のシンプルさ。私のウェブサイトはPOSTではなくGETを許可するようにのみ設計されているので、ルールを変更する必要はありません。

また、認識しておく必要があります。大量のトラフィックが感染したマシンによって生成されるため、攻撃者自体を停止またはブロックするのではなく、感染した1台のマシンをブロックします。そのため、WebページへのIPブロック全体をブロックすることはしません。メールサーバー、sshサーバーは確かです。実際、SSHなどのサービスへのアドレスのみを許可して、ウェブサーバーにデフォルトの「BLOCK ALL」を設定する必要があります。ただし、すべてのデザイン/ニーズは異なります

fr00tyl00p · Answer

<ul> <li>利用可能なすべてのパッチがインストールされていることを確認してください</li> <li>ログイン時に警告するようにシステムを構成します（例：sshrcおよびbashrcのメールごと）</li> <li>ファイアウォールに明らかな攻撃パターンの接続をドロップさせます。 （例 <a href="http://spamcleaner.org/en/misc/w00tw00t.html">http://spamcleaner.org/en/misc/w00tw00t.html</a> ）</li> <li>可能であれば、最大リクエストサイズを制限します（ <a href="http://httpd.Apache.org/docs/2.2/mod/core.html#limitrequestline">http://httpd.Apache.org/docs/2.2/mod/core.html#limitrequestline</a> 、 <a href="http://httpd.Apache.org/docs/2.2/mod/core.html#limitrequestfieldsize">http://httpd.Apache.org /docs/2.2/mod/core.html#limitrequestfieldsize</a> ）</li> <li>PHPIDSをインストールする（ <a href="https://phpids.org/">https://phpids.org/</a> ）</li> <li>システムの状態のスナップショット（ <a href="http://aide.sourceforge.net/">http://aide.sourceforge.net/</a> ）を作成し、cronジョブで毎日（またはより頻繁に）確認します</li> <li>バックアップを作成してください！</li> <li>送信パケットも制限するようにファイアウォール（ホストおよびネットワークベース）を構成する</li> <li>不要なIP範囲全体をブロックします。範囲を確認するには、「whois」をクエリします（例：whois 62.61.60.59およびblock 62.61.32.0/19）。しかし、注意してください！</li> <li>プロバイダーに伝えます。</li> </ul>

Wyatt Barnett · Answer

SSHをファイアウォールの背後に置き、ボックスにアクセスするためにVPNを必要とします-これにより、1つの主要な攻撃ベクトルが遮断され、アプリケーションレベルの侵入を悪用するのが難しくなります。

codingoutloud · Answer

私は少なくともあなたのホスティング会社と話をします。彼らはあなたに到達する前にIPアドレスの範囲をブロックするなど、いくつかの方法があるかもしれません。おそらく、他の防御層を設定することもできます。