Старый 03.05.2008, 15:16   #1
Злой модератор
 
Аватар для Wink
 
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,343
Вес репутации: 502
Wink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущее
По умолчанию Блокировка IP через .htaccess

Пытаются тут у меня на одном сайте найти уязвимости в движке. С нового года ежедневно приходит по несколько запросов с разных IP с левыми параметрами в URL. Атакуют с ломаных сайтов, на которых размещен шелл.

Написал скриптик, который такие запросы отсеивает и IP заносит в черный список, с дальнейшей блокировкой доступа с этого адреса. Потом из списка перетаскиваю адреса в .htaccess в таком вот виде
Код:
deny from 116.64.135.169
deny from 117.33.8.94
deny from 118.47.201.230
deny from 119.11.71.159
deny from 121.139.100.175
deny from 121.143.115.203
Все бы ничего, но к сегодняшнему дню их там уже 300 штук набралось и как бы дальше еще больше будет.
Есть какой-нибудь альтернативный способ блокировки, который будет быстрее работать? Проверка при каждом запросе к серверу всего списка IP не лучшее решение, как мне кажется.
Wink вне форума   Ответить с цитированием
Старый 03.05.2008, 15:33   #2
Новичёк
 
Аватар для Ataka
 
Регистрация: 02.09.2007
Адрес: Эксрезидент
Сообщений: 2,579
Вес репутации: 314
Ataka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущееAtaka - прекрасное будущее
По умолчанию

Цитата:
Сообщение от Wink Посмотреть сообщение
Проверка при каждом запросе к серверу всего списка IP не лучшее решение, как мне кажется.
Можно забанить всё дерево
117.33.8.
118.47.
119.
и так далее. Дени в каждой строчке можно не писать. Будет выглядеть так
117.33.8. 118.47. 119.
Можно забанить 116.0.0.0-121.255.255.255
__________________
Здесь пишут статьи. 1-2$ за 2000 символов. Разве не халява?

Последний раз редактировалось Ataka; 03.05.2008 в 15:37.
Ataka вне форума   Ответить с цитированием
Старый 03.05.2008, 16:12   #3
Злой модератор
 
Аватар для Wink
 
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,343
Вес репутации: 502
Wink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущее
По умолчанию

Эдак я пол интернета забаню Запросы из разных подсетей в основном
Wink вне форума   Ответить с цитированием
Старый 03.05.2008, 16:30   #4
Banned
 
Регистрация: 03.05.2008
Сообщений: 15
Вес репутации: 0
МегаГуру не любят в этих краяхМегаГуру не любят в этих краях
По умолчанию

deny from spam

Работает?
МегаГуру вне форума   Ответить с цитированием
Старый 03.05.2008, 18:16   #5
Эксперт
 
Аватар для mman
 
Регистрация: 04.02.2008
Адрес: Neverland
Сообщений: 1,144
Вес репутации: 243
mman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущее
По умолчанию

Можно самому написать модуль для апача, который будет банить всех, кто запрашивает "левые" параметры в УРЛ. Но там легко могут оказаться и боты ПС.
__________________
Твори, что ты желаешь, да будет то Законом (с) Алистер Кроули
mman вне форума   Ответить с цитированием
Старый 03.05.2008, 19:06   #6
Злой модератор
 
Аватар для Wink
 
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,343
Вес репутации: 502
Wink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущее
По умолчанию

На моем хостинге вряд ли возможно свои модули подключить
Скорее всего придется ограничивать время бана или превратить список в стек с фиксированным размером, чтобы не рос.
Wink вне форума   Ответить с цитированием
Старый 03.05.2008, 19:13   #7
Эксперт
 
Аватар для mman
 
Регистрация: 04.02.2008
Адрес: Neverland
Сообщений: 1,144
Вес репутации: 243
mman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущееmman - прекрасное будущее
По умолчанию

Я вообще не вижу особых причин для бана. Ну щупают, ну и что? Если этих дыр нет, то и бояться нечего. Это могут быть трояны на вполне честных клиентах.
А нечаянно забанить БПС, который пришел по ссылке на уже не существующую страницу с уже несуществующим параметром - это уже может стать проблемой... Могут повыпадать страницы из индекса.
Другое дело DDOS, но там уже есть готовый модуль апача для борьбы с этим.
__________________
Твори, что ты желаешь, да будет то Законом (с) Алистер Кроули
mman вне форума   Ответить с цитированием
Старый 03.05.2008, 19:29   #8
Злой модератор
 
Аватар для Wink
 
Регистрация: 25.03.2007
Адрес: Deep forest
Сообщений: 5,343
Вес репутации: 502
Wink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущееWink - прекрасное будущее
По умолчанию

Если не банить совсем, то с одного адреса приходит по 40-50 запросов разом, причем разных. Зачем лишний раз рисковать?

Вот примерно такое обычно суют вместо значений параметров: _http://www.obrasmecanicasch.com/omch/img/anawuho/ledego/
Если на уровень выше поднятся, то там можно интересные кусочки кода найти в папках.
Wink вне форума   Ответить с цитированием
Старый 04.05.2008, 12:06   #9
Специалист
 
Аватар для tpnetman
 
Регистрация: 16.06.2007
Адрес: Essen, Germany
Сообщений: 105
Вес репутации: 208
tpnetman - весьма и весьма положительная личностьtpnetman - весьма и весьма положительная личность
По умолчанию

ИМХО лучше оставить - если дыры нету то ничего не произойдет, а вот начнешь резать их и можно действительно поискового бота порезать...

меня тоже щупают, и формочки заполняют... я уже ради интереса даже папочки сделал /admin/ или /typo3/ и в том же духе и счетчики поставил, и приветствующий текст написал
tpnetman вне форума   Ответить с цитированием
Старый 25.05.2009, 15:03   #10
Новичок
 
Регистрация: 22.03.2009
Сообщений: 34
Вес репутации: 183
alexei82 скоро станет известен
По умолчанию

я правильно понял чтобы забанить ипи
просто прописать в любом месте файла .htaccess
deny from 116.64.135.169
и все?
alexei82 вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Редирект через .htaccess (301). Есть вопрос. Deadman_n Курилка 8 05.07.2008 12:44
Блокировка!! dagon Вопросы от новичков 4 07.04.2008 19:29
.htaccess maxximys Вопросы по работе системы 2 29.11.2007 09:52
(.htaccess) что это такое? Avelin_Bahtuzin Вопросы по работе системы 18 12.11.2007 18:52
Большое количество страниц в проекте (сортировка+блокировка) porcelanosa Пожелания пользователей системы 1 24.02.2007 14:42


Часовой пояс GMT +3, время: 16:44.