it-swarm-eu.dev

Jak mohu zastavit útok na robota na svém webu?

Mám web (vytvořený pomocí wordpress), který je v současné době pod útokem na robota (jak nejlépe umím říct). Soubor je vyžadován znovu a znovu a referrer je (téměř pokaždé) turkyoutube.org/player/player.swf. Požadovaný soubor je hluboko v mých tematických souborech a vždy za ním následuje „?v=“ a dlouhý řetězec (tj. r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke).

Snažil jsem se nastavit pravidlo .htaccess pro tohoto referrera, který vypadá, že funguje, kromě toho, že nyní se moje stránka 404 načítá znovu a znovu, což stále používá velkou šířku pásma. Existuje způsob, jak vytvořit pravidlo .htaccess, které nevyžaduje z mé strany žádné využití šířky pásma?

Také jsem se pokusil vytvořit soubor robots.txt, ale útok to zřejmě ignoruje.

#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]
14
Travis Northcutt

A co trochu korbomitový manévr ?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?turkyoutube.org.*$ [NC]
RewriteRule ^(.*)$ http://127.0.0.1/$1 [R=401,L]

Všimněte si netestovaných , ale měly by přesměrovat žádosti z nich zpět na sebe pomocí stavového kódu 401 Not Authorized. To znamená, že pokud robot dokonce zpracovává přesměrování (velmi nepravděpodobné), stále uvidí stavový kód. Stavový kód 404 může být účinnější. Každý by měl říct botovi, že by se to pravděpodobně měl vzdát.

Pravidlo, které jste zveřejnili v komentářích, je také více než dostačující, pokud rozšíříte výraz tak, aby odpovídal hostiteli o něco více. Používám něco blízkého (pokud jde o skutečné pravidlo) k blokování uživatelských agentů odpovídajících libwww-Perl:

RewriteCond %{HTTP_USER_AGENT} libwww-Perl.*
RewriteRule .* - [F,L]
8
Tim Post

Kromě blokování IP bych zkoumal i požadované soubory. Pro systémy s otevřeným zdrojovým kódem, jako jsou WordPress a Joomla, je docela běžná věc, což je jeden z důvodů, proč jsou často aktualizovány. Pokud jste zanedbali několik aktualizací, je možné, že někdo pronikl na váš web.

Měl jsem ten scénář, který se mi stal dvakrát, jednou na testovacím webu, který nikdy nebyl plně nasazen (ale byl ponechán na místě) a jindy na firemním webu, kde zaměstnanec s platným přístupem „přitulil“ phpBB pro svou rodinu komunikovat - aktualizace by problémům zabránily. V obou případech byl problém s analytikou nalezen, protože se zdá, že ve vašem případě může být pravdivý. Útok Joomla injektoval javascript, který způsobil prohlížeč uživatele načíst software, zatímco druhý umožnil hackerovi nahrát soubory na server, které byly součástí distribuovaného „alternativního“ google webu, který uživatele pokaždé p * rn. Ačkoli to není úplně obyčejný hack, zkontrolujte tabulku uživatelů DB, jen pro jistotu.

Rozhodně nemám v úmyslu vyvolat poplach, ale nikdy neublíží, než si jednou za čas prohlédnete svůj web, abyste přesně věděli, co se děje. Někdy budete překvapeni, co najdete.

2
bpeterson76

Pokud útok přichází pokaždé ze stejného čísla IP (nebo malé sady čísel IP), měli byste toto číslo IP ve vaší bráně firewall zablokovat. To by nemělo stát žádnou šířku pásma ani zatížení vašeho webového serveru.

Pokud hostujete na počítači se systémem Linux, máte rootový přístup k tento článek vysvětluje, jak to provést.

1
Kris

Používám DenyHosts [1] na všech svých serverech. DenyHosts zakáže všechny adresy IP, které se po nkrát nepodařilo přihlásit. Můžete také odesílat oznámení. Takže máte skvělý přehled o tom, z jakých IP adres/hostitelů přišla přihlášení; a má také funkci aktualizace webu a další skvělé funkce. Instalace je však stále velmi jednoduchá.

Další metodou je zakázat všechny IP rozsahy/bloky (např.) Z Číny nebo jiných zemí, které nejsou vaší cílovou skupinou. To lze provést pomocí online „blacklistů“ nebo pouze pomocí souboru hosts.deny (jako je DenyHosts).

[1] http://denyhosts.sourceforge.net/

0
fwaechter