เว็บไซต์ของคุณถูกโจมตีอย่างต่อเนื่อง

  • Sep 03, 2023

คุณคิดว่าจะไม่มีใครสนใจแฮ็กเว็บไซต์ธุรกิจขนาดเล็กของคุณหรือไม่ เพราะเหตุใด คิดอีกครั้งและเริ่มปกป้องไซต์ของคุณ

ความปลอดภัย

  • 8 นิสัยของคนทำงานระยะไกลที่มีความปลอดภัยสูง
  • วิธีค้นหาและลบสปายแวร์ออกจากโทรศัพท์ของคุณ
  • บริการ VPN ที่ดีที่สุด: 5 อันดับแรกเปรียบเทียบได้อย่างไร?
  • จะทราบได้อย่างไรว่าคุณมีส่วนร่วมในการละเมิดข้อมูลหรือไม่ และต้องทำอย่างไรต่อไป

หลายคนบอกฉันว่าเว็บไซต์ของพวกเขาปลอดภัย ทำไม เพราะ "ใครจะกล้าโจมตีไซต์ของฉัน" หรือ "ธุรกิจของเราเล็กเกินกว่าใครจะแฮ็กได้" โอ้ได้โปรด!

มีการเข้าใจผิดที่แพร่หลายว่าผู้โจมตีบนอินเทอร์เน็ตมักจะกำหนดเป้าหมายไปที่ไซต์ใดไซต์หนึ่งเสมอ พวกเขาไม่ได้ ใช่บางคนทำ ฉันกำลังมองคุณอยู่ อิคแฟกซ์. แต่การโจมตีส่วนใหญ่ทำโดยบอท ซึ่งไม่รู้อะไรเกี่ยวกับคุณ ธุรกิจของคุณ หรือเว็บไซต์ของคุณเลย

บอทไม่สนใจว่าคุณเป็นใครหรือทำอะไร หากคุณอยู่บนเว็บ คุณคือเป้าหมาย

ตามที่บริษัทรักษาความปลอดภัยเว็บ อิมเพอร์วา, ครึ่งหนึ่งของผู้เยี่ยมชมเว็บไซต์ทั้งหมดเป็นบอท. ในจำนวนนั้น ประมาณ 29 เปอร์เซ็นต์ของ "ผู้เยี่ยมชม" ทั้งหมดของคุณอยู่ที่นั่นเพื่อโจมตีเว็บไซต์ของคุณ

ตรงกันข้ามกับบรรดาผู้ที่คิดว่าเว็บไซต์ของคุณเล็กเกินกว่าจะสังเกตเห็น Imperva พบว่าปริมาณการเข้าชมที่คุณได้รับน้อยลง โอกาสที่คุณจะถูกโจมตีก็จะมากขึ้นตามไปด้วย “ในโดเมนที่ถูกค้ามนุษย์น้อยที่สุด ซึ่งมีผู้เยี่ยมชม 10 คนต่อวันหรือน้อยกว่านั้น บอทที่ไม่ดีคิดเป็น 47.7 เปอร์เซ็นต์ของการเข้าชมในขณะที่ ปริมาณการใช้บอททั้งหมดคิดเป็น 93.3 เปอร์เซ็นต์" แท้จริงแล้ว "บอทที่ไม่ดีจะพยายามแฮ็ก [เว็บไซต์ของคุณ] ไม่ว่ามันจะได้รับความนิยมในหมู่มนุษย์แค่ไหนก็ตาม พวกเขาจะยังคงเยี่ยมชมโดเมนต่อไปโดยไม่มีการรับส่งข้อมูลจากมนุษย์"

นั่นฟังดูบ้าเหรอ? สำหรับคนก็ใช่ แต่บอทไม่ใช่คน พวกเขากำลังสแกนเว็บและโจมตีไซต์ซ้ำแล้วซ้ำเล่า

ไม่เชื่อเหรอ? มาดูหลักฐานกัน ฮันนี่เน็ตซึ่งเป็นองค์กรวิจัยด้านความปลอดภัยระดับนานาชาติที่ไม่แสวงผลกำไร โดยได้รับความช่วยเหลือจากนักศึกษาที่ โรงเรียนโฮลเบอร์ตันเมื่อเร็ว ๆ นี้ได้มีการจัดตั้ง honeypot เพื่อติดตามการโจมตีด้านความปลอดภัยบนเว็บเซิร์ฟเวอร์บนคลาวด์.

สิ่งนี้ทำงานบนอินสแตนซ์ Amazon Web Services (AWS) แบบแบร์โบน มันไม่ได้ใช้บริการใดที่จะเป็นประโยชน์กับใครเลย มันไม่มีแม้แต่ชื่อโดเมน หลังจากสตาร์ทเซิร์ฟเวอร์ได้ไม่นาน พวกเขาก็เริ่มจับแพ็กเก็ตเครือข่ายเป็นเวลา 24 ชั่วโมงด้วยเครื่องมือวิเคราะห์ทราฟฟิกเครือข่ายที่ดีที่สุดที่มีอยู่ในปัจจุบัน ไวร์ชาร์ก. จากนั้นพวกเขาวิเคราะห์ไฟล์การจับแพ็กเก็ตด้วย Wireshark API การจัดอันดับ Border Gateway Protocol (BGP) ของ Computer Incident Response Center (CIRCL); และ p0fซึ่งเป็นโปรแกรมพิมพ์ลายนิ้วมือการรับส่งข้อมูล TCP/IP แบบพาสซีฟ

ในหนึ่งวัน เพียง 24 ชั่วโมง เว็บเซิร์ฟเวอร์ที่ไม่มีชื่อและแทบมองไม่เห็นนี้ถูกโจมตีมากกว่าหนึ่งในสี่ของล้านครั้ง ลองคิดดูสักครู่ ตอนนี้เริ่มล็อคเว็บไซต์ของคุณ

จากการโจมตีเหล่านั้น ส่วนใหญ่มีความพยายามในการเชื่อมต่อ 255,796 ครั้งเกิดขึ้นผ่าน การรักษาความปลอดภัยเชลล์ (SSH). จากนั้นผู้วิจัยก็ได้เปิดก หม้อน้ำผึ้งซึ่งเป็นเซิร์ฟเวอร์ที่ออกแบบมาให้ดูเหมือนเว็บไซต์จริงเพื่อรวบรวมข้อมูลการโจมตี เพื่อให้โครงการสามารถทำงานได้ พวกเขาเลือกที่จะเปิด Hypertext Transfer Protocol (HTTP), SSH ของเว็บ และ โครงข่ายโทรคมนาคม (Telnet) โปรโตคอลสำหรับการโจมตี

Telnet บางท่านอาจจะถาม? ใครใช้ Telnet อีกต่อไป? เราต้องขอบคุณอุปกรณ์ Internet of Things (IoT) ที่ออกแบบมาไม่ดี อุปกรณ์ IoT บางอย่าง ใช้ Telnet สำหรับการกำหนดค่าและการจัดการ. นั่นกำลังขอให้อุปกรณ์ของคุณถูกแฮ็ก Telnet ไม่เคยมีความปลอดภัยใดๆ ให้พูดถึงเลย

การโจมตี HTTP ส่วนใหญ่เกิดขึ้นเพื่อ PHPMyadmin,เป็นที่นิยม MySQL และ มาเรียดีบี ระบบการจัดการระยะไกล ระบบการจัดการเนื้อหาเว็บมากมายไม่ต้องพูดถึง เวิร์ดเพรสพึ่งพาฐานข้อมูลเหล่านี้ ปลั๊กอิน WordPress ที่มีช่องโหว่ก็ถูกโจมตีบ่อยครั้งเช่นกัน โปรดทราบว่านี่เป็นระบบที่แม้จะอยู่ในโหมดฮันนี่พอตก็ไม่ปล่อยแพ็กเก็ตเดียวออกสู่โลกภายนอก

การพยายามโจมตีหลายครั้งอาศัยมัลแวร์เก่า ปัญหาการกำหนดค่าที่ทราบ ชื่อผู้ใช้/รหัสผ่านทั่วไป และการโจมตีที่ทราบก่อนหน้านี้ ตัวอย่างเช่น ผู้โจมตีพยายามถอดรหัสเว็บเซิร์ฟเวอร์ด้วย Shellshock แม้ว่าจะได้รับการแก้ไขในปี 2014, และ ช่องโหว่ Apache Strutsซึ่งได้รับการแก้ไขในเดือนมีนาคม 2017 คุณไม่สามารถตำหนิคนที่เขียนบอทที่ใช้เวกเตอร์การโจมตีที่ล้าสมัยได้ เช่น SwiftOnSecurity ผู้เชี่ยวชาญด้านความปลอดภัยที่มีชื่อเสียง ทวีต: "เหตุการณ์ด้านความปลอดภัยคอมพิวเตอร์เกือบร้อยละ 99.99 เป็นเพียงการกำกับดูแลปัญหาที่ได้รับการแก้ไข"

สำหรับ SSH การโจมตีส่วนใหญ่เป็นการโจมตีแบบ brute-force ผ่านรายการชื่อผู้ใช้และรหัสผ่านที่ใช้กันทั่วไปตลอดช่วง 1-65535 ของพอร์ต TCP

น่าแปลกใจไหมที่ Imperva พบว่าหนึ่งในสามของผู้เยี่ยมชมเว็บไซต์เป็นบอทโจมตี

Imperva และ Holberton ยังพบว่า "รูปแบบการโจมตีที่เราบันทึกไว้สำหรับ HTTP และ SSH อาศัยความพยายามในการแสวงหาผลประโยชน์ทั่วไปที่ดูเหมือนจะสแกนช่วงที่อยู่ IP เพื่อหาช่องโหว่ที่รู้จัก ในทางกลับกัน Telnet อาศัยวิธีการบุกรุกที่ง่ายกว่า โดยการบังคับใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้น บางครั้งการโจมตีแบบสเปรย์และอธิษฐานเหล่านี้พยายามดาวน์โหลดสคริปต์ที่ล้าสมัยหรือร่วมสมัยกว่านั้นในทันที โทรจัน แต่ไม่มีความพยายามใดที่บันทึกไว้ถูกปกปิดเพียงพอที่จะหลบเลี่ยงการตรวจจับหรือเอาชนะการป้องกันง่ายๆ มาตรการ"

การโจมตีเหล่านี้ไม่ซับซ้อน พวกเขากำลังถูกขับเคลื่อนโดยบอทและบอทเน็ตเพื่อโจมตีไซต์ทั้งหมดที่พวกเขาพบ แฮกเกอร์อัตโนมัติเหล่านี้กำลังตามล่าหาเว็บไซต์ที่อ่อนแอและไม่ได้รับการป้องกัน

คติประจำใจของเรื่องราวนี้คือ ถ้าคุณมีเว็บไซต์ใดๆ -- และผมหมายถึงมี -- คุณต้องรักษาความปลอดภัยเว็บไซต์ของคุณด้วยกฎความปลอดภัยขั้นพื้นฐาน ที่เริ่มต้นด้วยการใช้ไฟร์วอลล์เพื่อบล็อกพอร์ตทั้งหมดไปยังไซต์ของคุณ ยกเว้นพอร์ตที่คุณใช้ คุณต้องปิดการใช้งานบริการที่เชื่อมต่อกับอินเทอร์เน็ตเว้นแต่คุณจะใช้งานอยู่ สุดท้ายนี้ คุณจะต้องทำให้ซอฟต์แวร์ของคุณมีแพตช์และเป็นปัจจุบันอยู่เสมอ

เว็บไซต์ของคุณจะยังคงถูกโจมตีทุกวัน แต่คุณจะปลอดภัยจากแฮกเกอร์อัตโนมัติส่วนใหญ่

เรื่องที่เกี่ยวข้อง:

  • เครื่องมือโอเพ่นซอร์สใหม่ของ Microsoft สามารถสแกนเว็บไซต์ของคุณเพื่อความปลอดภัยและปัญหาด้านประสิทธิภาพ
  • การแก้ไขช่องโหว่ Meltdown และ Spectre จะส่งผลต่อคุณอย่างไร
  • Windows Zero-day ส่งผลกระทบต่อเซิร์ฟเวอร์รุ่นเก่ากว่า 600,000 เครื่อง แต่มีแนวโน้มว่าจะไม่ได้รับการแก้ไข