web-gelistirme-sc.com

Sitemdeki bot saldırısını nasıl durdurabilirim?

Şu anda bir bot saldırısı altında (en iyi söyleyebileceğim gibi) bir sitem var (wordpress ile oluşturulmuş). Bir dosya tekrar tekrar talep ediliyor ve yönlendiren (hemen hemen her zaman) turkyoutube.org/player/player.swf. İstenilen dosya tema dosyalarımda derin ve her zaman "?v=" ve uzun bir dize (yani, r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke) izliyor.

404 sayfamın tekrar tekrar yüklendiği ve hala çok fazla bant genişliği kullandığı dışında, bu başvuru için bir .htaccess kuralını ayarlamayı denedim. Benim tarafımda bant genişliği kullanımı gerektirmeyen bir .htaccess kuralı oluşturmanın bir yolu var mı?

Ayrıca bir robots.txt dosyası oluşturmayı da denedim, ancak saldırı bunu görmezden geliyor gibi görünüyor.

#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]
14
Travis Northcutt

Küçük bir corbomite manevrası ne olacak?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?turkyoutube.org.*$ [NC]
RewriteRule ^(.*)$ http://127.0.0.1/$1 [R=401,L]

Not, denenmemiş ancak istekleri onlardan kendilerine bir 401 Not Authorized durum kodu ile yönlendirmelidir. Yani, bot yönlendirmeleri bile ele alıyorsa (çok düşük olasılıkla), fakat yine de durum kodunu görecektir. Bir 404 durum kodu daha etkili olabilir. Her ikisi de bota muhtemelen vazgeçmesi gerektiğini söylemelidir.

Yorumlarda gönderdiğiniz kural, ifadeyi Ana Bilgisayarla eşleştirmek için biraz daha genişletirseniz de yeterlidir. libwww-Perl ile eşleşen kullanıcı aracıları engellemek için yakın bir şey (gerçek kurala kadar) kullanıyorum:

RewriteCond %{HTTP_USER_AGENT} libwww-Perl.*
RewriteRule .* - [F,L]
8
Tim Post

IP engellemesi dışında, talep edilen dosyaları incelerdim. Bu, WordPress ve Joomla gibi açık kaynaklı sistemler için oldukça yaygın bir şeydir ve bu da sık sık güncellenmelerinin bir nedenidir. Birkaç güncellemeyi ihmal ettiyseniz, birisinin sitenize girmiş olması olasıdır.

Bu senaryo bana iki kez oldu, bir kez hiç tam olarak konuşlandırılmayan (ancak yerinde bırakılmayan) bir test sitesinde ve geçerli erişime sahip bir çalışanın bir phpBB'yi ailesi için "gizlice soktuğu" bir şirket web sitesinde başka bir zaman iletişim kurmak - güncellemeler sorunları önlerdi. Her iki durumda da, problem sizin durumunuzda doğru göründüğü için analitikle birlikte bulundu. Joomla saldırısı, kullanıcının tarayıcısının yazılımı yüklemesine neden olan javascript'i enjekte ederken, ikincisi hacker'ın, kullanıcının her seferinde p * rn olmasına yol açan dağıtılmış "alternatif" bir google sitesinin parçası olan sunucuya dosya yüklemesine izin verdi. Tamamen ortak bir kesmek olmasa da, DB kullanıcı masanızı kontrol edin.

Kesinlikle alarma neden olmak istemem, ama tam olarak neler olduğunu bilmek için bir süre sonra sitenizi araştırmak için zaman ayırmak asla acı vermez. Bazen ne bulduğuna şaşırırsın.

2
bpeterson76

Saldırı her seferinde aynı IP numarasından (veya küçük bir IP numara setinden) geliyorsa, bu IP numarasını güvenlik duvarınızda engellemelisiniz. Bu herhangi bir bant genişliğine mal olmamalı veya web sunucunuza yüklenmemelidir.

Eğer bir Linux makinesinde barındırıyorsanız, root erişimine sahip olduğunuz bu makale bunun nasıl yapılacağını açıklar.

1
Kris

Tüm sunucularımda DenyHosts [1] kullanıyorum. DenyHosts, n'den sonra giriş yapamayan tüm IP'lere izin vermez. Ayrıca bildirim gönderebilirsiniz. Böylece girişlerin hangi ips/host'a geldiği konusunda genel bir bakışınız var; ve ayrıca bir web güncelleme fonksiyonuna ve diğer harika özelliklere de sahiptir. Ancak kurulumu çok basittir.

Diğer bir yöntem, tüm IP Aralıklarını/Bloklarını (örneğin) Çin'den veya hedeflenen grubunuz olmayan diğer ülkelerden reddetmektir. Bu çevrimiçi "Kara Listeler" ile veya sadece hosts.deny dosyasıyla (DenyHosts gibi) yapılabilir.

[1] http://denyhosts.sourceforge.net/

0
fwaechter