Как остановить большинство атак на сайт за 5 минут

Мой сервер был сбит известным   хакерская группа пытается вымогать меня   за 3 биткойна, что в долларах США, на сумму 1500 долларов

Мой сервер был сбит известным хакерская группа пытается вымогать меня за 3 биткойна, что в долларах США, на сумму 1500 долларов. Они сказали, что будут продолжать атаковать мой сервер и мои сайты до тех пор, пока я им не заплатлю, и что атака будет увеличиваться, пока они не получат то, что хотят.

Атака вашего сайта - одна из самых неприятных вещей, которые могут случиться с владельцем бизнеса. Веб-хосты не всегда легко доступны, и если / когда вы наконец-то завладеете кем-то, шансы невелики, что они высококвалифицированный техник, который действительно может помочь вам диагностировать проблему.

Конечно, создание билета поддержки - ваша лучшая долгосрочная ставка, и она должна быть вашим первым ходом.

Для получения поддержки от техподдержки в большинстве крупных хостинговых компаний могут потребоваться часы или даже дни. Если вы хотите сделать что-то, чтобы остановить атаку, вам нужно выяснить, как атакуют ваш сайт, и устранить проблему.

Давайте определим, какая атака на ваш сайт.

Первый шаг - определить, какую атаку совершает ваш сайт.

В большинстве случаев, если ваш сайт не загружается, вас атакуют DoS или DDoS, что означает «Отказ в обслуживании» (или «Распределенный отказ в обслуживании», соответственно). Это означает, что один или несколько компьютеров атакуют ваш сайт, чтобы перегружать ваш сервер и отключать его, чтобы посетители не могли получить доступ к вашему контенту.

Это одна из самых простых атак, и ее очень часто атакуют конкуренты или, возможно, злой клиент.

Если на вашем сайте появляются всплывающие окна, предупреждения браузера, перенаправления или вирусы, скорее всего, у вас есть уязвимость в программном обеспечении или плагине, которая требует более тщательного расследования со стороны вашего хоста.

Если вы не видите ничего из этого, но ваш веб-сайт по-прежнему отключен, давайте продолжим, чтобы выяснить, какие соединения отвечают за отключение вашего сервера.

Определение наличия SSH и FTP доступа

Вы пытались подключиться к вашему сайту через FTP? Это загружается? Если это так, то это еще одно доказательство атаки типа «отказ в обслуживании».

Вы пытались подключиться к SSH? Если у вас есть выделенный сервер (который вам действительно нужен), подключитесь к своему сайту через SSH.

Как только вы подключитесь к вашему серверу через SSH, мы можем запустить несколько команд, чтобы увидеть, что происходит.

Сканирование на предмет злоупотребления IP-адресами

После подключения к SSH выполните эту команду, чтобы увидеть список всех IP-адресов, подключенных к вашему серверу:

netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | сортировать | uniq -c | сортировать -n

Запишите любые IP-адреса, которые имеют тревожное количество соединений. У вашего обычного пользователя будет от 1 до 10 подключений, а у IP-адреса, атакующего ваш сервер, их будет сотни. В моем случае каждый IP имел около 500 подключений.

Затем выполните поиск в Google по IP-адресу или используйте сайт наподобие whatismyipaddress. Из какой это страны? Видите ли вы сходство между IP-адресами атак? Все они из Румынии или из сети Tor? Примите к сведению любые сходства, так как они могут быть последним ключом, который вам нужен, чтобы заблокировать их.

Затем заблокируйте нарушающие IP-адреса. Это остановит большинство менее изощренных атак типа «отказ в обслуживании».

Вы можете навсегда заблокировать нарушающий IP с помощью этой команды (замените xxx.xxx.xxx.xxx на IP-адрес злоумышленника и повторите при необходимости:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

Вы также можете вставить это, что создаст правило, которое будет сбрасывать соединения от людей, пытающихся загрузить ваш сайт более 10 раз одновременно:

iptables -I INPUT -p tcp --dport 80 -i eth0 -m состояние --state NEW -m последние --set
iptables -I INPUT -p tcp --dport 80 -i eth0 -m состояние --state NEW -m недавнее --update - секунд 60 --hitcount 10 -j DROP
iptables-save> /etc/iptables.up.rules

Наконец, сохраните то, что вы сделали, чтобы эти изменения сохранялись даже после перезапуска сервера:

iptables-save> /etc/iptables.up.rules
iptables-restore </etc/iptables.up.rules

Проверьте свой сайт. Это загружается? Ура!

Если он не загружается, продолжайте выполнять проверки с первой командой, которую я перечислил, и ищите новые IP-адреса, которые используют слишком много соединений. В моем случае IP-адрес атакующего менялся каждую минуту, и каждый IP-адрес был из сети Tor. В итоге мне пришлось заблокировать каждый выходной узел Tor на этот список , который остановил эту атаку.

Другие виды атак типа «отказ в обслуживании»

Используя предыдущий метод, злоумышленники могут блокировать большие веб-сайты, даже веб-сайты с установленными мерами против DDoS Он работает, исчерпывая каждое соединение, которое может предложить ваш веб-сайт, и не допускает реальных пользователей, поскольку он слишком занят, пытаясь обслуживать фальшивых пользователей.

Однако, если вы не увидели IP-адресов с высоким подключением на вышеуказанных этапах или не можете подключиться к FTP или SSH, скорее всего, вы столкнулись с потоком UDP или TCP, который основан на грубой силе от одиночное соединение. Один IP-адрес может отправлять огромное количество данных, особенно если он из центра обработки данных, и он будет отображаться только как одно соединение.

Это требует более тщательного сокращения ваших активных соединений, а в некоторых случаях (если атака достаточно велика), выделенного аппаратного / программного брандмауэра для вашего сервера. Это то, что вы сможете купить у большинства хостов.

Надеюсь - после этих шагов - вам удалось вернуть свой сайт в онлайн. Теперь давайте посмотрим на превентивные меры, чтобы уменьшить риск повторного воздействия чего-то подобного.

Если на вашем хосте нет программного или специального аппаратного брандмауэра, вы всегда можете установить Apache на своем веб-сервере, что помешает вашему серверу идентифицировать и автоматически блокировать подобные вредоносные соединения.

Вы захотите установить модуль mod_reqtimeout для Apache, документированный Вот ,

Для этого можно настроить конфигурацию в редакторе включений WHM в разделе «Pre-Main-Global». Базовая конфигурация для автоматического удаления большинства вредоносных соединений будет выглядеть примерно так:

Заголовок RequestReadTimeout = 20-40, MinRate = 500 body = 20-40, MinRate = 500

В зависимости от вашего хоста и уровня квалификации, вам может потребоваться создать заявку в службу поддержки, чтобы техническая помощь помогла вам в этом.

Снижение нагрузки на сервер и площадь атаки

Тяжелый веб-сайт с большим количеством изображений, видео и движущихся частей будет больше напрягать ваш сервер и будет иметь большую «площадь атаки».

Есть несколько вещей, которые вы можете сделать, чтобы помочь этому. Первым будет настройка сети доставки контента (CDN), которая автоматически размещает код вашего веб-сайта, изображения и зависимости от молниеносных быстрых серверов. Такие компании, как MaxCDN или Amazon CloudFront, очень просты в использовании, и если вы используете Wordpress, вы можете настроить CDN примерно за 5 минут с помощью плагина W3 Total Cache.

В следующий раз, когда кто-то атакует ваш сайт, он будет пытаться загрузить страницу, которая представляет собой практически простую HTML-страницу, поскольку все изображения и контент вашего сайта размещены на их серверах. Это значительно снижает нагрузку на ваш сервер, и сайт с CDN намного легче переживает DDoS.

Он также будет загружаться намного быстрее и будет лучше ранжироваться в Google. Я плачу несколько долларов в месяц за Amazon CloudFront; это стоящее обновление.

Плагин кэширования, такой как общий кеш W3, также поможет вам показывать посетителям кэшированные HTML-страницы вместо раздутого кода Wordpress. По сути, это моментальный снимок того, как выглядит ваш веб-сайт, загруженного, и показ этой версии вашим посетителям. Он работает точно так же, но поскольку он кэширован, ваш сервер работает не так усердно. Кэшированный веб-сайт часто переживает DDoS-атаку, когда не кэшированный веб-сайт падает.

Cloudflare «Всегда в сети» и защита от DDoS-атак на уровне DNS

Лично я не использую Cloudflare, но если ваш сайт подвергается атаке, Cloudflare - это очень простое обновление, чтобы остановить большинство этих типов атак.

Он работает как пуленепробиваемый DNS-сервер. Каждое подключение к вашему сайту сначала должно проходить через Cloudflare, который обладает сложной защитой от DDoS и специальными функциями, такими как «Всегда онлайн», которые будут обслуживать ваш сайт, даже если ваш сервер отключен от атаки.

Их бесплатный вариант подходит для большинства людей, но оплата обновления, безусловно, имеет свои преимущества, такие как улучшение защиты от DDoS и усиление защиты.

Когда дело доходит до этого, если вы не квалифицированный техник по Linux-серверу, ваш хост сделает лучшую работу по локализации и устранению проблемы.

В моем случае я смог остановить атаку до того, как на мой запрос в службу поддержки был получен ответ, используя описанные выше шаги, а затем они помогли мне укрепить Apache, чтобы предотвратить это в будущем.

Дайте мне знать, если это помогло вам в комментариях ниже, или если у вас есть какие-либо другие методы для получения веб-сайта, который подвергается атаке онлайн!

РЕАЛЬНАЯ ЖИЗНЬ. РЕАЛЬНЫЕ НОВОСТИ. РЕАЛЬНЫЕ ГОЛОСА.

Помогите нам рассказать больше историй, которые имеют значение от голосов, которые слишком часто остаются неуслышанными.

Это загружается?
Вы пытались подключиться к SSH?
Из какой это страны?
Видите ли вы сходство между IP-адресами атак?
Все они из Румынии или из сети Tor?
Это загружается?
О школе
О школе

О школе

Школа была открыта в 1959г. Первые выпускники были выпущены в 1966 г. Учредителем является МНО РТ, Горисполком. Координаты школы: Республика Татарстан, 420012, г. Казань, ул. Муштари д.6.
История

История

Школа № 18 была создана в 1959 году, как первая школа в республике Татарстан с углублённым изучением английского языка. Реформирование школьного образования проводится в школе по
Похожие новости /   Комментарии

    Обновления сайта

    Здравствуйте. Сегодня наконец то мы обновили наш сайт. Теперь на сайте доступны библиотеки для чтения, Вы всегда можете задать вопрос администратору сайта. Получить консультацию на все интересующие вопросы. Ознакомится с новыми событиями и новостями. В дальнейшем сайт будет наполнятся свежими новостями и статьями.

    О школе

    Школа была открыта в 1959г. Первые выпускники были выпущены в 1966 г. Учредителем является МНО РТ, Горисполком. Координаты школы: Республика Татарстан, 420012, г. Казань, ул. Муштари д.6. Полное название- Средняя школа №18 с углублённым изучением английского языка Директор: Шевелёва Надия Магсутовна. Научный руководитель: Русинова Сазида Исмагиловна,

    История

    Школа № 18 была создана в 1959 году, как первая школа в республике Татарстан с углублённым изучением английского языка. Реформирование школьного образования проводится в школе по эволюционному пути, избегая резких преобразований, опасных в этой системе человеческой деятельности. С этой целью 7 лет школа работала в условиях экспериментальной площадки, где