मैं अपनी साइट पर बॉट हमले को कैसे रोक सकता हूं?


14

मेरे पास एक साइट है (वर्डप्रेस के साथ निर्मित) जो वर्तमान में एक बॉट हमले के तहत है (जैसा कि सबसे अच्छा मैं बता सकता हूं)। एक फ़ाइल को बार-बार अनुरोध किया जा रहा है, और रेफ़रर (लगभग हर बार) है turkyoutube.org/player/player.swf। अनुरोध की जा रही फ़ाइल मेरी थीम फ़ाइलों के भीतर गहरी है, और हमेशा " ?v=" और एक लंबी स्ट्रिंग (यानी r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke) द्वारा पीछा किया जाता है ।

मैंने उस रेफ़र के लिए एक .htaccess नियम सेट करने की कोशिश की है, जो काम करने लगता है, सिवाय इसके कि अब मेरा 404 पेज ओवर लोड हो रहा है, जो अभी भी बहुत सारे बैंडविड्थ का उपयोग कर रहा है। क्या एक .htaccess नियम बनाने का एक तरीका है जिसके लिए मेरे हिस्से पर बैंडविड्थ उपयोग की आवश्यकता नहीं है?

मैंने एक robots.txt फ़ाइल बनाने की भी कोशिश की, लेकिन हमले को नज़रअंदाज़ कर दिया गया।

#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]

2
क्या हर बार एक ही आईपी से हमला हो रहा है?
बेन हॉफमैन

क्या आपका .htaccessनियम जानबूझकर 404 फ़ाइल को ट्रिगर कर रहा है? सादा अनुमति से इनकार करने की तरह लगता है कि त्रुटि से कम बैंडविड्थ उपयोग होगा।
आर्टलंग

यह .htaccess फाइल के प्रासंगिक हिस्सा है:। RewriteCond% {HTTP_REFERER} turkyoutube \ .org [एनसी] RewriteRule * - [एफ]
ट्रैविस Northcutt

हालाँकि, भले ही मेरी पहुंच लॉग "Http कोड: 404" दिखाती है, लेकिन जब मैंने इसे बनाया है तो यह मेरे बैंडविड्थ के उपयोग को रोक देता है।
ट्रैविस नॉर्थकट जूल

क्या आपके पास .htaccessमुख्य वर्डप्रेस .htaccessनियमों से पहले या बाद में आपके द्वारा पोस्ट किया गया कोड है?
आर्टुलंग

जवाबों:


8

कैसे थोड़ा corbomite पैंतरेबाज़ी के बारे में ?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?turkyoutube.org.*$ [NC]
RewriteRule ^(.*)$ http://127.0.0.1/$1 [R=401,L]

ध्यान दें, अप्रमाणित लेकिन एक 401 Not Authorizedस्थिति कोड के साथ स्वयं से उन अनुरोधों को पुनः निर्देशित करना चाहिए । यही है, अगर बॉट भी पुनर्निर्देश (बहुत असंभावित) को संभालता है, लेकिन यह अभी भी स्थिति कोड देखेगा। 404 स्थिति कोड अधिक प्रभावी हो सकता है। या तो किसी को बॉट को बताना चाहिए कि इसे संभवतः छोड़ देना चाहिए।

यदि आप टिप्पणियों में पोस्ट किए गए नियम भी पर्याप्त से अधिक हैं यदि आप होस्ट को थोड़ा अधिक मिलान करने के लिए अभिव्यक्ति को व्यापक बनाते हैं। मैं उपयोगकर्ता-एजेंटों के मिलान को अवरुद्ध करने के लिए कुछ (जहाँ तक वास्तविक नियम है) का उपयोग करता हूँ libwww-perl:

RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* - [F,L]

क्या आप पाते हैं कि कई बॉट्स में HTTP_USER_AGENT = libwww-perl है? ऐसा लगता है कि कुछ सबसे बॉट के बारे में झूठ होगा।
लियाम

@ लियम - आश्चर्यजनक रूप से, उनमें से एक सभ्य प्रतिशत कभी भी एक वास्तविक ब्राउज़र के रूप में बहकने का प्रयास नहीं करता है (हालांकि निश्चित रूप से, इससे अधिक नहीं)। मैंने सोचा कि यह भी अजीब था :)
टिम पोस्ट

ध्यान दें कि आप यहां बहुत धीमी रेगेक्स का उपयोग कर रहे हैं। .*$कुछ भी नहीं है जो एक बहुत तेजी से होता है के बराबर है। इसके अलावा RewriteRule .* - [F,L], कोई ज़रूरत नहीं है *क्योंकि आप वैसे भी प्रविष्टि को अनदेखा करते हैं।
एलेक्सिस विल्के

2

IP अवरोध के अलावा, मैं उन फ़ाइलों की जांच करूंगा जो अनुरोध की जा रही हैं। वर्डप्रेस और जूमला जैसे ओपन-सोर्स सिस्टम का शोषण किया जाना एक सामान्य बात है, जो एक कारण है कि वे अक्सर अपडेट किए जाते हैं। यदि आपने कुछ अपडेट की उपेक्षा की है, तो संभव है कि किसी ने आपकी साइट पर प्रवेश किया हो।

मेरे पास यह परिदृश्य दो बार हुआ है, एक बार एक परीक्षण स्थल पर जो पूरी तरह से तैनात नहीं किया गया था (लेकिन जगह में छोड़ दिया गया था) और दूसरी बार एक कंपनी की वेबसाइट पर जहां एक कर्मचारी अपने परिवार के लिए phpBB "वैध" पहुंच गया। संवाद करने के लिए - अद्यतन मुद्दों को रोका होगा। दोनों मामलों में, समस्या को एनालिटिक्स के साथ पाया गया क्योंकि ऐसा लगता है कि यह आपके मामले में सही हो सकता है। जूमला ने इंजेक्शन को जावास्क्रिप्ट से हमला किया, जिसके कारण उपयोगकर्ता का ब्राउज़र सॉफ्टवेयर लोड हो गया, जबकि बाद वाले ने हैकर को उन सर्वर पर फाइलें अपलोड करने की अनुमति दी, जो वितरित "वैकल्पिक" Google साइट का हिस्सा थे जो उपयोगकर्ता को हर बार p * rn तक ले जाता है। हालाँकि यह पूरी तरह से एक सामान्य हैक नहीं है, बस मामले में अपने DB उपयोगकर्ताओं की तालिका देखें।

मुझे निश्चित रूप से अलार्म पैदा करने का मतलब नहीं है, लेकिन यह कभी नहीं पता है कि आपकी साइट के माध्यम से खोदने के लिए समय निकालने के लिए कभी भी दर्द होता है। कभी-कभी आपको आश्चर्य होता है कि आप क्या पाते हैं।


मुझे लगता है कि वास्तव में यही हो रहा है। लगता है कि अनुरोध की जा रही फ़ाइल भी नहीं होनी चाहिए। शुक्र है, एक दोस्ताना वर्डप्रेस कोर योगदानकर्ता ने मुझसे संपर्क किया, इसलिए मुझे लगता है कि हम इसे समझ लेंगे।
ट्रैविस नॉर्थकट जूल

1

यदि हमला हर बार एक ही आईपी नंबर से हो रहा है (या आईपी नंबर का एक छोटा सेट) तो आपको उस आईपी नंबर को अपने फ़ायरवॉल में ब्लॉक करना चाहिए। कि आपके वेब सर्वर पर किसी भी बैंडविड्थ या लोड की लागत नहीं होनी चाहिए।

यदि आप इसे लिनक्स मशीन पर होस्ट कर रहे हैं, तो आपके पास इस लेख की रूट एक्सेस है, यह बताता है कि यह कैसे करना है।


यह हर बार एक ही आईपी से नहीं आ रहा है।
ट्रैविस नॉर्थकट

0

मैं अपने सभी सर्वरों पर DenyHosts [1] का उपयोग करता हूं। DenyHosts उन सभी IP को अस्वीकृत कर देता है जो n समय के बाद लॉगिन करने में विफल रहे। आप सूचनाएं भी भेज सकते हैं। तो आपके पास एक महान अवलोकन है जिसमें से लॉग्स आए ips / मेजबान; और इसमें एक वेब अपडेट फ़ंक्शन और अन्य शानदार विशेषताएं भी हैं। लेकिन यह अभी भी स्थापित करने के लिए बहुत सरल है।

एक अन्य तरीका यह है कि चीन या अन्य देशों से सभी आईपी रेंज / ब्लॉक (जैसे) में आपका लक्षित समूह नहीं है। यह ऑनलाइन "ब्लैकलिस्ट्स" के साथ या केवल hosts.deny फ़ाइल (जैसे DenyHosts) के साथ किया जा सकता है।

[१] http://denyhosts.sourceforge.net/


-1

बस fb साइट पर 301 रीडायरेक्ट करें।

RewriteCond% {HTTP_REFERER} ^ http (s)? // // www पर RewriteEngine? Turkyoutube.org। $ [एनसी] RewriteRule ^ (। ) $ Http://www.fbi.gov [आर = 301, एल]

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.