Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

J8
На сайте с 06.03.2016
Offline
111
922

Привет!

Идёт атака на сайт. Сначала думали, что обычный ддос, подключили cloudflare, сменили Ip сайта.

Но атака продолжается, CDN не рассматривает это как атаку. Только указывая ограничение на количество обращений с одного ip даёт результат. Поддержка сказала, что это не атака, а низкочастотная (?) пробивка сайта сканнером уязвимостей в обход NS.

Вопрос - в какой области и где искать специалиста, который может настроить защиту от такой напасти?

Кто вообще таким занимается, если ни CDN поддержка ни админы хостинга это разрулить не могут?

Спасибо!

mr888
На сайте с 16.05.2016
Offline
46
#1

IP подсеть одна?

SocFishing
На сайте с 26.09.2013
Offline
118
#2

Не паникуйте, люди вам помогают искать уязвимости, а вы начинаете стрелять в них из пушки. Это нормальная практика, что в сети постоянно сканят IP адреса на наличие дыр. Используйте последнее программное обеспечение и следите за внутренней безопасностью.

★Сервис идентифицирует (https://socfishing.com/?utm_source=searchengines) посетителей вашего сайта и предоставляет их профили ВКонтакте, Телефон, Почта! Цены копеечные, работаем 8 лет.
H
На сайте с 15.02.2010
Offline
105
#3
jsmith820:
подключили cloudflare, сменили Ip сайта

А ip свежий, не засвеченный? На нём раньше ничего "интересного" не было?

В сети есть сервисы, которые выдают полный список ip-адресов домена, где он когда-то хостился, даже 3-5 лет назад. Если напасть ручная и преднамеренная - cloudflare тут не поможет, злоумышленник может знать предыдущие адреса и атаковать один из их после ручной проверки сайта на доступность по этим адресам, в обход cloudflare.

Как вариант: попробуйте закрыть в конфиге фронтэнда (а лучше - файрволом) доступ отовсюду, кроме айпишников cloudflare. Может помочь!

_
На сайте с 24.03.2008
Offline
357
#4

Ничего вы не сделаете.

Если это низкочастотные запросы неотличимые от запросов юзеров еще и с разных ip.

Почему вас это вообще беспокоит-то ?

Ну сканируют. Пусть сканируют. Вас вон боты каждый день посещают, убыло что-ли от этого ?

У меня как правило все логи забиты попытками авторизоваться несмотря на fail2ban и прочее. Долбят своими 123456 с 100500 разных мест...

J8
На сайте с 06.03.2016
Offline
111
#5
mr888:
IP подсеть одна?

это знание выше моего понимания )

В данном конкретном случае я у хостера отказался от выделенного ip, теперь ip сайта общий хостеровский. Соответственно, ни по общему ip ни по старому сайт недоступен.

Или этого не достаточно, и нужно заказывать новый, выделенный ip?

_SP_:
Ничего вы не сделаете.
Если это низкочастотные запросы неотличимые от запросов юзеров еще и с разных ip.

А как они проходят мимо firewall`а клаудовского? В клауде стоят чёткие правила - пускать ip с геолокацией только РФ. А по логам сервера, как были заходы с ip всего мира, так и продолжаются.

Помимо всего прочего клауд вроде как от известных атак на дыры в движках защищает. Хочется пускать весь трафик через firewall, а он, зараза, как-то мимо пролазит.

foxi
На сайте с 02.03.2011
Offline
878
#6

запретить доступ, разрешив только для ипов клауда.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
ivan34502
На сайте с 20.07.2012
Offline
81
#7
jsmith820:

А как они проходят мимо firewall`а клаудовского? В клауде стоят чёткие правила - пускать ip с геолокацией только РФ. А по логам сервера, как были заходы с ip всего мира, так и продолжаются.
Помимо всего прочего клауд вроде как от известных атак на дыры в движках защищает. Хочется пускать весь трафик через firewall, а он, зараза, как-то мимо пролазит.

Эти сканеры сканируют напрямую ip провайдера и знать не знают, что на этом ip есть ваш сайт. То есть я хочу сказать, что эти действия не направленны конкретно на ваш ресурс.

Брутфорсят доступ к ssh, например. Поменяйте дефолтные порты и файрволом закройте для всех кроме себя и клауда (вот список ip клауда https://www.cloudflare.com/ips-v4)

fliger
На сайте с 17.09.2015
Offline
69
#8

Запретите обращаться к сайту по IP.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий