♪ \ "A-Side \" ♪ - Sange fra det næste trin

Jeg kontrollerede mine rå adgangsfiler efter at have fået besked om, at mit websted har været begrænset de sidste 24 timer og ser forskellige IP-adresser, der forsøger at få adgang til filer med .aspx-udvidelser, se vedhæftet logbillede.

Hvad forsøger de at gøre, og hvordan kan de komme i hver millisekund eller deromkring fra forskellige IP-adresser?

Jeg troede, jeg ville opdatere mit spørgsmål, fordi dette fortsætter med at ske, og for første gang en anmodning uden IP-adresse - se tredje logpost

  • 3 Disse ligner hackforsøg fra flere allerede kompromitterede systemer, der forsøger at replikere en nyttelast. Jeg antager, at du bruger en Microsoft-computer, da svarkoden er 403. Det er muligt, at svarkoden tilskynder hacket. Sørg for, at din software er opdateret. Da jeg ikke kender Microsoft-produkter mere, kan jeg ikke rådgive dig. Men hvis din software er opdateret, og dit system fortsætter med at returnere en 403, skal du være sikker på disse angreb.
  • 1 Jeg bruger ikke en Microsoft-computer, og dette har intet at gøre med min computer. Skærmbilledet er et uddrag fra Raw Access Logs fra et af webstederne på en delt serverkonto. Ingen af ​​mine sider er ASP-steder, og jeg har 403 omdirigeringer oprettet på alle siderne for forbudte sektioner af webstederne i htaccess, så serveren har ret til at returnere 403'erne. Mit spørgsmål er om de forskellige IP-adresser, hvordan kan dette komme fra så mange IP-adresser, og hvad prøver de at gøre?
  • 2 som closetnoc sagde, de er hackingforsøg. Jeg får dem hundreder af gange om dagen på min server. Det er normalt.
  • 2 Mens jeg sætter pris på en god ole 403, opmuntrer du måske angrebet. Det er langt bedre at returnere en 404. Jeg er meget opmærksom på, hvad dette er. Jeg studerede angrebssignaturer i over et årti. Du kan blokere disse IP-adresser i din firewall, hvis du har en. Jeg kører to med et IP-hul. Jeg anbefaler dem, når det er muligt.
  • 1 ... men hvad med IP-adresserne ... Hvad med dem? Disse er kompromitterede computere på nettet. Når angrebet skrider frem, kan du se mere. Ignorer dem eller bloker dem. Du kan ikke stoppe angrebene.

Du er enten under angreb (DDoS), eller du er meget populær, og dette er legitim trafik (men i betragtning af '403' er det sidste usandsynligt). Og ja, hvis du først har modtaget denne IP for nylig, er anmodningerne legitim trafik til den tidligere ejer af din IP.

Der er en hel del måder at beskytte, og den mest effektive af dem er en tredjeparts CDN med en sådan mulighed. For at nævne nogle få: CloudFlare, MaxCDN, Anazon CloudFront. Selv uden DDoS-beskyttelse bør CDN være effektiv, fordi den skal cache '403' Usikker, men det kan have bedre effekt, hvis du svarer med 404 i stedet for 403.

  • alle vores sider går allerede igennem Cloudflare, jeg tjekker logfilerne igen i dag og ser, om den stadig fortsætter
  • du har ret, min udbyder er under et DDoS-angreb, og det fortsætter

arbejdet for dig: Charles Robertson | Ønsker du at kontakte os?