Ich habe eine Site (mit WordPress erstellt), die derzeit von einem Bot angegriffen wird (soweit ich das beurteilen kann). Eine Datei wird immer wieder angefordert, und der Verweiser ist (fast jedes Mal) turkyoutube.org/player/player.swf
. Die angeforderte Datei befindet sich tief in meinen Themendateien und wird immer von " ?v=
" und einer langen Zeichenfolge (dh r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke
) gefolgt .
Ich habe versucht, eine .htaccess-Regel für diesen Referrer festzulegen, was anscheinend funktioniert, außer dass meine 404-Seite jetzt immer wieder geladen wird und immer noch viel Bandbreite verbraucht. Gibt es eine Möglichkeit, eine .htaccess-Regel zu erstellen, für die meinerseits keine Bandbreitennutzung erforderlich ist?
Ich habe auch versucht, eine robots.txt-Datei zu erstellen, aber der Angriff scheint das zu ignorieren.
#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]
.htaccess
Regel absichtlich die 404-Datei aus? Es scheint, als würde durch das Auslösen eines Fehlers, dem eine einfache Berechtigung verweigert wurde, weniger Bandbreite verbraucht..htaccess
Code, den Sie vor oder nach den wichtigsten WordPress-.htaccess
Regeln gepostet haben ?Antworten:
Wie wäre es mit einem kleinen Corbomit-Manöver ?
Beachten Sie, dass ungeprüfte Anforderungen mit einem
401 Not Authorized
Statuscode an sich selbst zurückgeleitet werden sollten. Dies ist der Fall, wenn der Bot sogar Weiterleitungen verarbeitet (sehr unwahrscheinlich), aber der Statuscode weiterhin angezeigt wird. Ein 404-Statuscode ist möglicherweise effektiver. Entweder sollte man dem Bot sagen, dass er wahrscheinlich aufgeben sollte.Die Regel, die Sie in den Kommentaren gepostet haben, ist auch mehr als angemessen, wenn Sie den Ausdruck erweitern, damit er ein wenig mehr mit dem Host übereinstimmt. Ich verwende etwas Nahes (soweit es die eigentliche Regel betrifft), um die Zuordnung von Benutzeragenten zu blockieren
libwww-perl
:quelle
.*$
entspricht nichts, was viel schneller ist. Auch dasRewriteRule .* - [F,L]
, keine Notwendigkeit,*
da du den Eintrag sowieso ignorierst.Abgesehen von der IP-Blockierung würde ich die angeforderten Dateien überprüfen. Open-Source-Systeme wie WordPress und Joomla werden häufig ausgenutzt. Dies ist einer der Gründe, warum sie häufig aktualisiert werden. Wenn Sie einige Updates vernachlässigt haben, ist es möglich, dass jemand in Ihre Website eingedrungen ist.
Ich habe dieses Szenario zweimal erlebt, einmal auf einer Testwebsite, die nie vollständig bereitgestellt wurde (aber an Ort und Stelle belassen wurde), und ein anderes Mal auf einer Unternehmenswebsite, auf der ein Mitarbeiter mit gültigem Zugriff eine phpBB für seine Familie "angeschlichen" hat zu kommunizieren - Updates hätten die Probleme verhindert. In beiden Fällen wurde das Problem bei der Analyse festgestellt, da es in Ihrem Fall möglicherweise zutrifft. Durch den Joomla-Angriff wurde Javascript injiziert, wodurch der Browser des Benutzers Software laden konnte. Letzteres erlaubte dem Hacker, Dateien auf den Server hochzuladen, die Teil einer verteilten "alternativen" Google-Site waren, die den Benutzer jedes Mal zu p * rn führte. Auch wenn dies kein alltäglicher Hack ist, überprüfen Sie Ihre DB-Benutzertabelle für alle Fälle.
Ich will mit Sicherheit keinen Alarm auslösen, aber es schadet nie, sich ab und zu die Zeit zu nehmen, Ihre Website zu durchsuchen, um genau zu wissen, was los ist. Manchmal werden Sie überrascht sein, was Sie finden.
quelle
Wenn der Angriff jedes Mal von derselben IP-Nummer (oder einem kleinen Satz von IP-Nummern) ausgeht, sollten Sie diese IP-Nummer in Ihrer Firewall blockieren. Das sollte keine Bandbreite kosten oder Ihren Webserver belasten.
Wenn Sie es auf einem Linux-Computer hosten, auf dem Sie über Root-Zugriff auf diesen Artikel verfügen, wird die Vorgehensweise erläutert.
quelle
Ich verwende DenyHosts [1] auf allen meinen Servern. DenyHosts verbietet alle IPs, die sich nach n-mal nicht anmelden konnten. Sie können auch Benachrichtigungen senden. Sie haben also einen guten Überblick darüber, von welchen IPS / Hosts die Logins stammen. und es hat auch eine Web-Update-Funktion und andere tolle Funktionen. Die Installation ist dennoch sehr einfach.
Eine andere Methode besteht darin, alle IP-Bereiche / -Blöcke (z. B.) aus China oder anderen Ländern, die nicht Ihre Zielgruppe sind, zu verbieten. Dies kann mit Online- "Blacklists" oder einfach mit der hosts.deny-Datei (wie DenyHosts) erfolgen.
[1] http://denyhosts.sourceforge.net/
quelle
Führen Sie einfach die 301-Weiterleitung zur fbi-Site aus.
RewriteEngine auf RewriteCond% {HTTP_REFERER} ^ http (s)?: // (www.)? Turkyoutube.org. $ [NC] RewriteRule ^ (. ) $ Http://www.fbi.gov [R = 301, L]
quelle