♪ \ "A-Side \" ♪ - Песни от следващата стъпка

Проверих необработените си файлове за достъп, след като бях уведомен, че сайтът ми е ограничен през последните 24 часа и виждам различни IP адреси, които се опитват да получат достъп до файлове с разширения .aspx, вижте прикачено изображение на дневника.

Какво се опитват да направят и как могат да идват на всяка милисекунда или така от различни IP адреси?

Мислех да актуализирам въпроса си, защото това продължава да се случва и за първи път заявка без IP адрес - вижте третия запис в дневника

  • 3 Те изглеждат като опити за хакване от няколко вече компрометирани системи, опитващи се да репликират полезен товар. Предполагам, че използвате компютър на Microsoft, тъй като кодът за отговор е 403. Възможно е кодът за отговор да насърчава хака. Уверете се, че вашият софтуер е актуален. След като вече не познавам продуктите на Microsoft, не мога да ви посъветвам. Ако обаче вашият софтуер е актуален и системата ви продължава да връща 403, тогава трябва да сте в безопасност от тези атаки.
  • 1 Не използвам компютър на Microsoft и това няма нищо общо с моя компютър. Екранната снимка е извадка от регистрационните файлове на Raw Access от един от сайтовете в споделен акаунт на сървър. Нито един от сайтовете ми не е ASP сайтове и имам създадени 403 пренасочвания на всички сайтове за забранени секции от сайтовете в htaccess, така че сървърът е прав да върне 403. Въпросът ми е за различните IP адреси, как това може да идва от толкова много IP адреси и какво се опитват да направят?
  • 2, както каза closetnoc, те правят хакерски опити. Получавам ги стотици пъти на ден на моя сървър. Нормално е.
  • 2 Въпреки че оценявам добър ole 403, може би насърчавате атаката. Далеч по-добре е да върнете 404. Аз съм много наясно какво е това. Изучавах подписи за атаки повече от десетилетие. Можете да блокирате тези IP адреси във вашата защитна стена, ако имате такъв. Изпълнявам две с IP разлика. Препоръчвам ги, когато е възможно.
  • 1 ... но какво да кажем за IP адресите ... Какво за тях? Това са компрометирани компютри в мрежата. С напредването на атаката можете да видите повече. Игнорирайте ги или ги блокирайте. Не можете да спрете атаките.

Или сте под атака (DDoS), или сте много популярен и това е легитимен трафик (обаче, като се има предвид „403“, последният е малко вероятно). И да, ако сте получили този IP съвсем наскоро, тогава заявките са легитимен трафик към предишния собственик на вашия IP.

Има доста начини за защита и най-ефективният от тях е CDN на трета страна с такава опция. За да назовем само няколко: CloudFlare, MaxCDN, Anazon CloudFront. Дори и без DDoS-защита CDN трябва да бъде ефективен, защото трябва да кешира „403“ Несигурен, но може да има по-добър ефект, ако отговорите с 404 вместо с 403.

  • всички наши сайтове вече преминават през Cloudflare, ще проверя дневниците отново днес и ще видя дали все още продължава
  • прав си, доставчикът ми е под DDoS атака и тя продължава

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?