web-dev-qa-db-ja.com

自分のサイトの弱点を探っている人を見つけました。どうすればよいですか?

私のサイトはMorrocoからのIPの束によって調査されてきました(フォームの送信、潜在的なURLの試行、スクリプトの実行の試行など)。私は、それらがどのように動作するかのパターンを観察した後、同じ人物であると強く疑っています。 。ログを見ると、脆弱性は発見されていないようです。観察し続ける以外に、これについて何をすべきかわかりません。 IPは変更されているように見えるため、IPをブロックしても役に立たないようです。

この時点で私にできることはありますか?

27
Jad S

インターネットへようこそ!これは通常の状況であり、通常どおりのビジネスです。

何もする必要はありませんが、ウェブサイトを強化する必要があります。このようなプローブは、昼夜を問わず、あらゆるサイトで常時発生しています。一部の人々はそれを「自発的なペンテスト」と呼びます。

サイトによっては、これらの種類のプローブをサイトから遠ざけるのに役立つツールがいくつかあります。 Wordpressサイトにはプラグインがいくつかあります(プラグインディレクトリでセキュリティプラグインを検索できます)。他の一般的なプラットフォームにも同等のプラグインがあると思います。

私が通常使用する他のツールはfail2banです。それはあなたのウェブサーバーのログファイルを解析し、それに応じて反応することができます。

66
ThoriumBR

すぐに解決策を探す以外の最初のステップは、自分のサイトのペンテストを実施し、自分のサイトの弱点を実際に認識することです。何を保護しているのかわからない場合、どのように保護すればよいでしょうか。

まず、CMSなどのインフラストラクチャを確認します。たとえば、Wordpressを使用している場合、Wordpressのアプリとcmdツールの両方で使用できるペンテストツールがあります。つまり、 Wordfence で、私はこれを使用しました- WPscan も。

2番目のオプションは、 OWASP zaproxy のようなツールを見て、ネットワークの攻撃スキャンを実行し、脆弱性のリストを取得することです。これらのいくつかは誤検知の可能性があることに注意してください。

あなたの発見はすでに発見されたものを反映しているかもしれませんが、あなた自身のサイトの脆弱性が何であるかを知ることは有用だと思います。

次のステップは、これらのプローブについて調べる方法です。手動チェックの場合は、 NXLog のようなログ収集システムをセットアップすることもできます。

5
NASAhorse

彼らが探しているものを見つけ出し、彼らがそれを試してみたら、1〜2か月間IPを禁止するまた、いくつかのPHP=をダミーにして、それらを遅くすることもできます。

大量のダウンロードのために他のサイトを紹介したり、マルウェアを見つけさせないでください。

90%はWordpress、PHPMyAdmin、テレフォニーです。スクリプトキディの場合、同じ古い値がポップアップ表示されます。

Fail2BanとDenyHostsでアイデアを探してください。

実際にWPを実行している場合は、セキュリティソリューションで強化します。

例外として、管理ツールとデータベースへのアクセスのみを許可します。これは、インターネットアドレスからのものであってはなりませんが、独自の要塞のような保護を持つローカルなものからのものであってはなりません。

2
mckenzm

すべてのスキャンに1セントあれば、私のウェブサイトは...

文字通り、ログを確認すると、自動化されたプローブと攻撃の絶え間ない流れに気づくでしょう。私がクライアントに相談するとき(私は情報セキュリティで働いています)、これを「バックグラウンドノイズ」と呼んでいます。それはそこにあり、それについて何かしようとする試みは、それがそこにあることを受け入れることよりもコストがかかります。ログファイルを監視、アラート、SIEMなどのシステムにパイプする前に、フィルターで除外することもできます。

あなたがしなければならないことは、システムを最新の状態に保ち、パッチを適用することです。これらの攻撃のほとんどすべては、よく知られており、しばしばかなり古いエクスプロイトを使用しています。彼らは簡単なターゲットのために釣りをしています。

あなたがすべきことは、システムの強化に少し時間を費やすことです。権限を正しく設定し、未使用のポートをブロックし、未使用のソフトウェアを無効にし、専用ユーザーの下で何かを実行します。

あなたができることは、特に地元の観客がいるプライベートウェブサイトで、中国、ロシア、ヨーロッパ、および/または聴衆がいない場所に応じて、米国。攻撃の大部分はこれらの発信元から発生します。たとえば、米国にあなたのウェブページがスペインの地元の犬クラブに関するものであるためにウェブページを読む人がいない場合、それらをブロックするだけでノイズを減らすことができますファイアウォールで。違いはほとんどないので、「できる」と書いていますが、ログのノイズが減ります(Googleのランキングにも影響しますが、それは別のテーマです)。

0
Tom