Web sitem layer7 saldırısı yiyor

Tortue · 19 Temmuz 2020

24099 dedi:
Yurt dışı erişimini CloudFlare üzerinden engelle. Girişe htaccess login koruması koy. Yani girenlerden üstte yazan şifre ve kullanıcı adını istesin.

Önceden kendini CF arkasına almadıysan IP adresini herhalde sızdırmışsın oradan saldırıyor olabilir. Bu durumda IP değişimi talep et. Arama sorgularını, giriş yapılacak üye giriş ve kayıt kısımlarını kapat. Veritabanını sürekli sorgular ile yavaşlatmasın.

Hocam istek limitini kontrol etmek için bir script yazıp ekleyeceğim (5 saniye içerisinde 20-30 istek geliyorsa banlaması için), .htaccess'e IP adresini yazıp oradan da engelleyeceğim ne kadar sağlam olur bilmiyorum ancak siteye login koruması koyamam. Evet önceki site CF'da değildi ve maalesef IP değişim talep edemem, bir kaç müşterim var bayii hesabında problem olmasın. Ayrıca bu kullandığımız sunucuda +700 hosting barınıyor, galiba hepsi de aynı IP adresini paylaşıyor emin değilim. Giriş ve kayıt kısımlarını kapatırsam sisteme üye kişiler erişim sağlayamaz panele.

SypeR dedi:
Kullandığın scriptlerden birisi veya birkaçı korsan mı? Ayrıca web güvenliği konusunda uzman olmasam da saldırıların çoğu non-TLS bağlantı üzerinden geliyor gibi görünüyor. Cpanel veya Plesk panel üzerinden TLS zorlama şansın var mı? Eğer imkanın varsa TLS üzerinden gelmeyen bağlantılar otomatik olarak Firewall tarafından red yemeli ve saldırılar düşmeli.

Cloudflare üzerinden TLS 1.3'e zorluyorum başka yer yok hocam panel DirectAdmin. Ama yine de non-TLS gerçekleştiriyor bağlantıyı bir şekilde. Şu an bir problem yok, yavaşlama vesaire durumu söz konusu değil fakat saldırı girişimi devam ediyor ama başarısız.

Exinie dedi:
Cloudflare DDoS protection açık değil mi?

Eki Görüntüle 619229

Evet açık hocam.

24099 dedi:
Arama sorgularını, giriş yapılacak üye giriş ve kayıt kısımlarını kapat. Veritabanını sürekli sorgular ile yavaşlatmasın.

Session oturumu tanımlayıp bu sorgulamalara limit tanımlayabilirim. O şekilde limiti aşan fazla isteklere .htaccess'dan ban atabilirim.

xbacktrack · 19 Temmuz 2020

Bildiklerimi sizlere söyleyeyim.

Cloudflare DDoS protection açabilirsiniz. DDoS atan kişi belki bypass yapamaz
firewall kısmından sitenizi yurt dışına kapatarak saldırıyı önleyebilirsiniz. ( Google botları giremeyecektir. Bunun içinde..)

Bu şekilde ayarlama yapın ve aktif edin.

Tortue · 19 Temmuz 2020

Silinen üye dedi:
Bildiklerimi sizlere söyleyeyim.

Cloudflare DDoS protection açabilirsiniz. DDoS atan kişi belki bypass yapamaz

firewall kısmından sitenizi yurt dışına kapatarak saldırıyı önleyebilirsiniz. ( Google botları giremeyecektir. Bunun içinde..)

Eki Görüntüle 619236

Bu şekilde ayarlama yapın ve aktif edin.

Şu an bu ikisi de açık, Google botları vesaire hiç önemli değil hocam.

xbacktrack · 19 Temmuz 2020

Tortue dedi:
Şu an bu ikisi de açık, Google botları vesaire hiç önemli değil hocam.

Yurt dışına kapadıysanız eğer büyük ölçüde saldırı azalacaktır ve site düşmeyecektir. Ancak DDoS atan kişi Türkiye ipleri ile saldırı yaparsa yurt dışına kapatsanız da bir işe yaramayacaktır. Sitenizi siz yurt dışına kapalı tutun açmayın saldırıdan vazgeçene kadar.

Tortue · 19 Temmuz 2020

Silinen üye dedi:
Yurt dışına kapadıysanız eğer büyük ölçüde saldırı azalacaktır ve düşmeyecektir. Ancak DDoS atan kişi Türkiye ipleri ile saldırı yaparsa yurt dışına kapatsanız da bir işe yaramayacaktır. Sitenizi siz yurt dışına kapalı tutun açmayın saldırıdan vazgeçene kadar.

Evet bu durum var son olarak. Türkiye'de bu saldırıya izin verecek bir firma yok gerçi ama ben yine de aşırı istek gönderen IP adreslerini algılayıp, .htaccess'a yazıp banlamasını sağlayan bir script yazacağım, etkisi olacaktır diye düşünüyorum.

Değerli yorumlarınız için teşekkür ediyorum herkese.

xbacktrack · 20 Temmuz 2020

Tortue dedi:
Evet bu durum var son olarak. Türkiye'de bu saldırıya izin verecek bir firma yok gerçi ama ben yine de aşırı istek gönderen ıp adreslerini algılayıp,. Htaccess'a yazıp banlamasını sağlayan bir script yazacağım, etkisi olacaktır diye düşünüyorum.

Değerli yorumlarınız için teşekkür ediyorum herkese.

Elbette etkisi olur bu tür sakatlar ile uğraşmak gerçekten sıkıntılı bir durum size de kolay gelsin.

SypeR · 20 Temmuz 2020

Tortue dedi:
Cloudflare üzerinden TLS 1.3'e zorluyorum başka yer yok hocam panel DirectAdmin. Ama yine de non-TLS gerçekleştiriyor bağlantıyı bir şekilde. Şu an bir problem yok, yavaşlama vesaire durumu söz konusu değil fakat saldırı girişimi devam ediyor ama başarısız.

Anlıyorum. Cloudflare yalnızca direkt olarak ona gelen istekleri engelleyebilir. Direkt olarak IP adresine yapılan isteği engelleyemez çünkü yazılımsal seviyede bir Firewall Cloudflare.

Peki müşterilerinizden birisinin korsan/kırık script kullanmış olma ihtimali mevcut mu? Dosya geçmişi varsa eğer yeni eklenen dosyalar (tema, eklenti vs) belli olabilir belki?

Tortue · 20 Temmuz 2020

SypeR dedi:
Anlıyorum. Cloudflare yalnızca direkt olarak ona gelen istekleri engelleyebilir. Direkt olarak IP adresine yapılan isteği engelleyemez çünkü yazılımsal seviyede bir Firewall Cloudflare.

Peki müşterilerinizden birisinin korsan/kırık script kullanmış olma ihtimali mevcut mu? Dosya geçmişi varsa eğer yeni eklenen dosyalar (tema, eklenti vs) belli olabilir belki?

Yok hayır. Dosya, resim vesaire türleri sisteme yüklemeleri mümkün değil buna izin vermiyorum hocam.

24099 · 20 Temmuz 2020

Tortue dedi:
Siteye login koruması koyamam.

Neden?

Tortue dedi:
Ayrıca bu kullandığımız sunucuda +700 hosting barınıyor, galiba hepsi de aynı IP adresini paylaşıyor emin değilim.

O halde hosting firmasının üzerine düşeni yapması gerekiyor. Sattığı paket reseller. Oldu olacak sunucuyla datacentera gidip onu da size kurdurtsunlar.

Tortue dedi:
Session oturumu tanımlayıp bu sorgulamalara limit tanımlayabilirim.

Mantıklı.

Önceden CF kullanmaman büyük hata. CF arkasına aldıktan sonra saldırı başarısız oluyorsa demek ki önceki IP adresini bilmiyor. Biliyor da olabilir emin değilim.

Basit bir stresser ile yapıyor bunu. Maalesef internet kullanımı arttıkça böyle lamerlar artıyor.

Tortue · 20 Temmuz 2020

24099 dedi:
Neden?

Sitenin bir kaç üyesi var o yüzden hocam.

24099 dedi:
O halde hosting firmasının üzerine düşeni yapması gerekiyor. Sattığı paket reseller. Oldu olacak sunucuyla datacentera gidip onu da size kurdurtsunlar.

Şu an elimde A'dan Z'ye kadar her türlü isteğe ait bilgiler mevcut log halinde. Bunu firmaya göndereyim o halde dediğiniz gibi ilgilenmek zorundalar ama ücret talep ederlerse vazgeçerim maalesef.

24099 dedi:
Önceden CF kullanmaman büyük hata. CF arkasına aldıktan sonra saldırı başarısız oluyorsa demek ki önceki IP adresini bilmiyor. Biliyor da olabilir emin değilim.

Direkt olarak IP'ye vursaydı bence firma bir şeyler yapardı çünkü o IP adresi sadece benim hesabıma değil bir çok hesaba tanımlı, şikayet talepleri artardı muhtemelen. Dediğiniz çok doğru, CF çok önemli.

24099 dedi:
Basit bir stresser ile yapıyor bunu. Maalesef internet kullanımı arttıkça böyle lamerlar artıyor.

Aynen hocam. Referans kısmında sitenin adı yazmıyordu önceki askıya alınan hosting'de. Yeni hosting açınca yeniden saldırdı, bu sefer gözüktü. Bu siteden atıyor muhtemelen, çok haklısınız lamer konusunda.

Hosting askıya alınınca public_html klasörüne erişim kapatılıyor ve doğal olarak root dizine erişilemeyeceği için 403 hatası (yasak) veriyor ve bu arkadaş bunu paylaşarak seviniyor çökerttim diye. Benim bu durumdan tek kaybım trafik eritildi resmen ve aylık yenilenen bir şey değil bizim hizmetimizde, masrafa girdik kısacası.

Web sitem layer7 saldırısı yiyor

Tortue

Megapat

xbacktrack

Centipat

Tortue

Megapat

xbacktrack

Centipat

Tortue

Megapat

xbacktrack

Centipat

SypeR

Petapat

Tortue

Megapat

24099

Petapat

Tortue

Megapat