it-gundan.com

내 사이트에 대한 봇 공격을 어떻게 막을 수 있습니까?

현재 봇 공격을 받고있는 사이트 (워드 프레스로 구축)가 있습니다 (가장 최선의 방법은 말할 수 있음). 파일이 계속 요청되고 있으며 리퍼러는 거의 turkyoutube.org/player/player.swf입니다. 요청 된 파일은 내 테마 파일 내에 있으며 항상 "?v="및 긴 문자열 (예 : r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke)이옵니다.

해당 리퍼러에 대해 .htaccess 규칙을 설정하려고 시도했지만 현재 404 페이지가 계속로드되고 있으며 여전히 많은 대역폭을 사용하고 있습니다. 내 대역폭 사용량이없는 .htaccess 규칙을 만드는 방법이 있습니까?

또한 robots.txt 파일을 만들려고 시도했지만 공격이 무시하는 것 같습니다.

#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]
14
Travis Northcutt

작은 corbomite maneuver 는 어떻습니까?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?turkyoutube.org.*$ [NC]
RewriteRule ^(.*)$ http://127.0.0.1/$1 [R=401,L]

untested 그러나 401 Not Authorized 상태 코드를 사용하여 요청을 자신에게 다시 리디렉션해야합니다. 즉, 봇이 리디렉션을 처리하는 경우 (아마도)는 아니지만 여전히 상태 코드가 표시됩니다. 404 상태 코드가 더 효과적 일 수 있습니다. 봇에게 아마도 포기해야한다고 알려 주어야합니다.

주석에 게시 한 규칙은 호스트와 조금 더 일치하도록 표현을 확장하는 경우에도 적합합니다. libwww-Perl와 (과) 일치하는 사용자 에이전트를 차단하기 위해 실제 규칙에 가까운 것을 사용합니다.

RewriteCond %{HTTP_USER_AGENT} libwww-Perl.*
RewriteRule .* - [F,L]
8
Tim Post

IP 차단 외에도 요청중인 파일을 면밀히 조사합니다. WordPress 및 Joomla와 같은 오픈 소스 시스템을 악용하는 것은 매우 일반적인 일입니다. 이것이 자주 업데이트되는 이유 중 하나입니다. 몇 가지 업데이트를 무시한 경우 누군가 사이트에 침투했을 수 있습니다.

이 시나리오는 한번도 완전히 배치되지는 않았지만 (제자리에 남아있는) 테스트 사이트에서 한 번 두 번 발생했으며, 유효한 액세스 권한을 가진 직원이 자신의 가족을 위해 phpBB를 "밀어 넣은"회사 웹 사이트에서 한 번 더 발생했습니다. 의사 소통하기-업데이트로 인해 문제가 발생하지 않았을 것입니다. 두 경우 모두 귀하의 경우에 해당되는 것처럼 분석에서 문제가 발견되었습니다. Joomla 공격은 사용자의 브라우저가 소프트웨어를로드하게하는 자바 스크립트를 주입 한 반면, 후자는 해커가 사용자가 매번 p * rn로 연결되는 분산 된 "대체"Google 사이트의 일부인 서버에 파일을 업로드 할 수 있도록 허용했습니다. 완전히 일반적인 핵은 아니지만 DB 사용자 표를 참조하십시오.

나는 확실히 알람을 유발하지는 않지만, 무슨 일이 일어나고 있는지 정확히 알기 위해 사이트를 한 번에 파고 드는 데 시간이 걸리지 않습니다. 때때로 당신은 당신이 찾은 것에 놀랄 것입니다.

2
bpeterson76

공격이 매번 같은 IP 번호 (또는 소수의 IP 번호)에서 오는 경우 방화벽에서 해당 IP 번호를 차단해야합니다. 웹 서버에 대역폭이나 부하가 들지 않아야합니다.

이 기사 에 대한 루트 액세스 권한이있는 Linux 컴퓨터에서 호스팅하는 경우이를 수행하는 방법을 설명합니다.

1
Kris

모든 서버에서 DenyHosts [1]를 사용합니다. DenyHosts는 n 번 후에 로그인에 실패한 모든 IP를 허용하지 않습니다. 알림을 보낼 수도 있습니다. 그래서 당신은 어떤 ips/hosts가 로그인을했는지에 대한 훌륭한 개요를 가지고 있습니다; 또한 웹 업데이트 기능 및 기타 훌륭한 기능이 있습니다. 그러나 여전히 설치가 매우 간단합니다.

다른 방법은 중국 또는 귀하의 목표 그룹이 아닌 다른 국가의 모든 IP 범위/블록 (예 :)을 허용하지 않는 것입니다. 온라인 "블랙리스트"또는 hosts.deny 파일 (예 : DenyHosts)을 사용하여 수행 할 수 있습니다.

[1] http://denyhosts.sourceforge.net/

0
fwaechter