Sitemdeki bot saldırısını nasıl durdurabilirim?


14

Şu anda bir bot saldırısı altında (en iyi söyleyebileceğim gibi) bir site (wordpress ile inşa edilmiş) var. Bir dosya tekrar tekrar isteniyor ve yönlendiren (neredeyse her seferinde) turkyoutube.org/player/player.swf. İstenen dosya tema dosyalarımın derinliklerinde ve ardından her zaman " ?v=" ve uzun bir dize (ie r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke) geliyor.

Şu anda 404 sayfamın hala çok fazla bant genişliği kullanıyor olduğu dışında, işe yarayan, bu yönlendirici için bir .htaccess kuralı ayarlamayı denedim. Benim tarafımda bant genişliği kullanımı gerektirmeyen bir .htaccess kuralı oluşturmanın bir yolu var mı?

Ayrıca bir robots.txt dosyası oluşturmayı denedim, ancak saldırı bunu görmezden geliyor gibi görünüyor.

#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]

2
Saldırı her seferinde aynı IP'den mi geliyor?
Ben Hoffman

Sizin mi .htaccesskural kasten 404 dosya tetikleme? Basit bir izin reddedildi hatası atma daha az bant genişliği kullanımı gibi görünüyor.
artlung

Bu, .htaccess dosyasının ilgili kısmıdır: RewriteCond% {HTTP_REFERER} turkyoutube \ .org [NC] RewriteRule. * - [F]
Travis Northcutt

Ancak, erişim günlüklerim "Http Code: 404" göstermesine rağmen, .htaccess değişikliğini yaptığımda bant genişliği kullanımım durmuş gibi görünüyor.
Travis Northcutt

Eğer var mı .htaccessönce mi yoksa ana wordpress sonra yayınlanmıştır kodu .htaccesskuralları?
artlung

Yanıtlar:


8

Biraz korbomit manevrasına ne dersiniz ?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?turkyoutube.org.*$ [NC]
RewriteRule ^(.*)$ http://127.0.0.1/$1 [R=401,L]

Not denenmemiş ama geri kendilerini onlardan isteklerini yönlendirmelidir 401 Not Authorizeddurum kodu. Yani, bot yönlendirmeleri bile yönetiyorsa (çok olası değildir), ancak durum kodunu hala görecektir. 404 durum kodu daha etkili olabilir. Ya botlara muhtemelen pes etmeleri gerektiğini söylemeliler.

İfadeyi ana bilgisayarla biraz daha eşleşecek şekilde genişletirseniz, yorumlarda yayınladığınız kural da yeterli değildir. Eşleşen kullanıcı aracıları engellemek için yakın bir şey (gerçek kuralı kadar) kullanın libwww-perl:

RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* - [F,L]

Birçok botun HTTP_USER_AGENT = libwww-perl olduğunu buldunuz mu? Bu, çoğu botun yalan söyleyeceği bir şey gibi görünüyor.
Liam

@Liam - şaşırtıcı bir şekilde, iyi bir yüzdesi asla gerçek bir tarayıcı olarak maskelenmeye çalışmaz (elbette, daha fazla yapmayın). Ben de garip olduğunu düşündüm :)
Tim Post

Burada çok yavaş regex kullandığınızı unutmayın. .*$Çok hızlıdır şey eşdeğerdir. Ayrıca, RewriteRule .* - [F,L]gerek *yok zaten giriş görmezden beri.
Alexis Wilke

2

IP engellemenin yanı sıra, istenen dosyaları inceleyeceğim. WordPress ve Joomla gibi açık kaynaklı sistemlerden yararlanmak oldukça yaygın bir şeydir, bu da sık sık güncellenmelerinin bir nedenidir. Birkaç güncellemeyi ihmal ettiyseniz, birisi sitenize girmiş olabilir.

Bu senaryo bana iki kez oldu, bir kez asla tam olarak konuşlandırılmayan (ancak yerinde bırakılmayan) bir test sitesinde ve geçerli bir erişimi olan bir çalışanın ailesi için bir phpBB'yi "gizlediği" bir şirket web sitesinde başka bir kez yaşadım iletişim kurmak - güncellemeler sorunları önlerdi. Her iki durumda da, sorun sizin durumunuzda doğru göründüğü için analitikte bulundu. Joomla saldırısı, kullanıcının tarayıcısının yazılım yüklemesine neden olan javascript enjekte ederken, ikincisi hacker'ın, her seferinde kullanıcıyı p * rn'ye yönlendiren dağıtılmış bir "alternatif" google sitesinin parçası olan sunucuya dosya yüklemesine izin verdi. Tamamen ortak bir saldırı olmasa da, her durumda DB kullanıcıları tablonuzu kontrol edin.

Kesinlikle alarma neden olmak istemiyorum, ama ne olduğunu tam olarak bilmek için arada bir sitenizi kazmak için zaman ayırmak asla acıyor. Bazen ne bulduğunuza şaşıracaksınız.


Bence bu tam olarak olan şey. Görünen dosya, orada olmamalı bile. Neyse ki, samimi bir wordpress çekirdeği katılımcısı benimle iletişime geçti, bu yüzden anlayacağız.
Travis Northcutt

1

Saldırı her seferinde aynı IP numarasından (veya küçük bir IP numarası kümesinden) geliyorsa, güvenlik duvarınızdaki bu IP numarasını engellemelisiniz. Bu, web sunucunuzda herhangi bir bant genişliğine veya yüke mal olmamalıdır.

Bu makaleye root erişimi olan bir Linux makinesinde barındırıyorsanız, bunun nasıl yapılacağı açıklanmaktadır.


Her seferinde aynı IP'den gelmiyor.
Travis Northcutt

0

Tüm sunucularımda DenyHosts [1] kullanıyorum. DenyHosts, n kez sonra oturum açamayan tüm IP'lere izin vermiyor. Ayrıca bildirim gönderebilirsiniz. Yani ips / hosts girişleri geldi büyük bir bakış var; ve ayrıca bir web güncelleme fonksiyonu ve diğer harika özelliklere sahiptir. Ancak kurulumu hala çok basit.

Diğer bir yöntem, tüm IP Aralıklarına / Bloklarına (örneğin) Çin'den veya hedeflediğiniz grup olmayan diğer ülkelerden izin vermektir. Bu, çevrimiçi "Kara Listeler" ile veya yalnızca hosts.deny dosyasıyla (DenyHosts gibi) yapılabilir.

[1] http://denyhosts.sourceforge.net/


-1

Sadece 301'i fbi sitesine yönlendirin.

RewriteCond% {HTTP_REFERER} ^ http (s)?: // (www.)? Turkyoutube.org üzerinde RewriteEngine. $ [NC] RewriteRule ^ (. ) $ Http://www.fbi.gov [R = 301, L]

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.