Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 14.02.2020, 02:38   #1
Кандидат наук
 
Регистрация: 06.03.2016
Сообщений: 385
Репутация: 26208

По умолчанию Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

Привет!
Идёт атака на сайт. Сначала думали, что обычный ддос, подключили cloudflare, сменили Ip сайта.
Но атака продолжается, CDN не рассматривает это как атаку. Только указывая ограничение на количество обращений с одного ip даёт результат. Поддержка сказала, что это не атака, а низкочастотная (?) пробивка сайта сканнером уязвимостей в обход NS.
Вопрос - в какой области и где искать специалиста, который может настроить защиту от такой напасти?
Кто вообще таким занимается, если ни CDN поддержка ни админы хостинга это разрулить не могут?
Спасибо!
jsmith820 на форуме   Ответить с цитированием

Реклама
Старый 14.02.2020, 07:34   #2
mr888
Профи
 
Аватар для mr888
 
Регистрация: 16.05.2016
Адрес: Российская Федерация
Сообщений: 197
Репутация: 14792

По умолчанию Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

IP подсеть одна?
mr888 вне форума   Ответить с цитированием
Старый 14.02.2020, 14:54   #3
SocFishing
uid tracking
 
Аватар для SocFishing
 
Регистрация: 26.09.2013
Адрес: определяет
Сообщений: 737
Репутация: 42816
Социальные сети Профиль в ВКонтакте Профиль на Хабрахабре Профиль в LinkedIn Аккаунт в Telegram

По умолчанию Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

Не паникуйте, люди вам помогают искать уязвимости, а вы начинаете стрелять в них из пушки. Это нормальная практика, что в сети постоянно сканят IP адреса на наличие дыр. Используйте последнее программное обеспечение и следите за внутренней безопасностью.
__________________
Сервис идентифицирует посетителей вашего сайта и предоставляет их профили ВКонтакте, Телефон, Почта! Цены копеечные, работаем 7 лет.
SocFishing на форуме   Ответить с цитированием
Сказали спасибо:
Старый 14.02.2020, 16:37   #4
hubbiton
без статуса
 
Регистрация: 15.02.2010
Сообщений: 420
Репутация: 22497

По умолчанию Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

Цитата:
Сообщение от jsmith820 Посмотреть сообщение
подключили cloudflare, сменили Ip сайта
А ip свежий, не засвеченный? На нём раньше ничего "интересного" не было?
В сети есть сервисы, которые выдают полный список ip-адресов домена, где он когда-то хостился, даже 3-5 лет назад. Если напасть ручная и преднамеренная - cloudflare тут не поможет, злоумышленник может знать предыдущие адреса и атаковать один из их после ручной проверки сайта на доступность по этим адресам, в обход cloudflare.

Как вариант: попробуйте закрыть в конфиге фронтэнда (а лучше - файрволом) доступ отовсюду, кроме айпишников cloudflare. Может помочь!

Последний раз редактировалось hubbiton; 14.02.2020 в 16:53..
hubbiton вне форума   Ответить с цитированием
Сказали спасибо:
Старый 14.02.2020, 17:26   #5
_SP_
Академик
 
Регистрация: 24.03.2008
Адрес: MSK
Сообщений: 4,173
Репутация: 447168

По умолчанию Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

Ничего вы не сделаете.
Если это низкочастотные запросы неотличимые от запросов юзеров еще и с разных ip.

Почему вас это вообще беспокоит-то ?
Ну сканируют. Пусть сканируют. Вас вон боты каждый день посещают, убыло что-ли от этого ?

У меня как правило все логи забиты попытками авторизоваться несмотря на fail2ban и прочее. Долбят своими 123456 с 100500 разных мест...
_SP_ вне форума   Ответить с цитированием
Сказали спасибо:
Старый 15.02.2020, 23:01   #6
jsmith820
Кандидат наук
 
Регистрация: 06.03.2016
Сообщений: 385
Репутация: 26208

ТопикСтартер Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

Цитата:
Сообщение от mr888 Посмотреть сообщение
IP подсеть одна?
это знание выше моего понимания )
В данном конкретном случае я у хостера отказался от выделенного ip, теперь ip сайта общий хостеровский. Соответственно, ни по общему ip ни по старому сайт недоступен.
Или этого не достаточно, и нужно заказывать новый, выделенный ip?

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Ничего вы не сделаете.
Если это низкочастотные запросы неотличимые от запросов юзеров еще и с разных ip.
А как они проходят мимо firewall`а клаудовского? В клауде стоят чёткие правила - пускать ip с геолокацией только РФ. А по логам сервера, как были заходы с ip всего мира, так и продолжаются.
Помимо всего прочего клауд вроде как от известных атак на дыры в движках защищает. Хочется пускать весь трафик через firewall, а он, зараза, как-то мимо пролазит.
jsmith820 на форуме   Ответить с цитированием
Старый 16.02.2020, 09:10   #7
foxi
Mik Foxi
 
Аватар для foxi
 
Регистрация: 03.03.2011
Адрес: Budva
Сообщений: 10,417
Репутация: 1098768
Социальные сети Аккаунт в Telegram

По умолчанию Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

запретить доступ, разрешив только для ипов клауда.
__________________
Антибот защита для сайта (плохие боты не пройдут и контент не украдут) | Телеграм ЧАТ ВебМастеров | Тут могла быть ваша реклама
foxi вне форума   Ответить с цитированием
Сказали спасибо:
Старый 16.02.2020, 10:39   #8
ivan34502
Кандидат наук
 
Аватар для ivan34502
 
Регистрация: 20.07.2012
Сообщений: 282
Репутация: 52489

По умолчанию Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

Цитата:
Сообщение от jsmith820 Посмотреть сообщение
А как они проходят мимо firewall`а клаудовского? В клауде стоят чёткие правила - пускать ip с геолокацией только РФ. А по логам сервера, как были заходы с ip всего мира, так и продолжаются.
Помимо всего прочего клауд вроде как от известных атак на дыры в движках защищает. Хочется пускать весь трафик через firewall, а он, зараза, как-то мимо пролазит.
Эти сканеры сканируют напрямую ip провайдера и знать не знают, что на этом ip есть ваш сайт. То есть я хочу сказать, что эти действия не направленны конкретно на ваш ресурс.
Брутфорсят доступ к ssh, например. Поменяйте дефолтные порты и файрволом закройте для всех кроме себя и клауда (вот список ip клауда https://www.cloudflare.com/ips-v4)
ivan34502 вне форума   Ответить с цитированием
Сказали спасибо:
Старый 16.02.2020, 18:55   #9
fliger
Кандидат наук
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 448
Репутация: 13634

По умолчанию Re: Идёт атака на сайт сканнером уязвимостей в обход NS, что делать?

Запретите обращаться к сайту по IP.
fliger вне форума   Ответить с цитированием
Сказали спасибо:
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны