Попробуйте блокировать этого злоумышленника через iptables - Администрирование серверов

Ломают сайт в онлайн режиме

ctit ctit · 2011-07-25T05:32:35.0000000Z

Прямо сейчас ломают сайт. Идет куча запросов с 178.49.7.14. Стал искать - через google нашел php-скрипт с упоминанием своего сайта. Сейчас сайт висит. По логам вроде видно, что идет подстановка url. Знаю, что конкуренты. Вот кусок кода. Подскажите, чем лечить. ================================================= <?php if ($_SERVER['REQUEST_URI'] == '' || $_SERVER['REQUEST_URI'] == '/') { die("<a href='мой сайт'>url</a> | <a href='мой сайт'>url</a>"); } $url = "мой сайт{$_SERVER['REQUEST_URI']}"; function replaceUrls($text) { $text = str_replace("мой сайт", "http://test3.thelogin.ru/", $text); return $text; } require_once("HTTP/Request.php"); $request = new HTTP_Request($url); switch ($_SERVER['REQUEST_METHOD']) { case "POST": $request->setMethod(HTTP_REQUEST_METHOD_POST); foreach ($_POST as $fieldName => $fieldValue) { $request->addPostData($fieldName, $fieldValue); } if (!empty($_FILES)) { foreach ($_FILES as $fieldName => $uploadedFile) { $request->addFile($fieldName, $_FILES[$fieldName]['tmp_name'], $_FILES[$fieldName]['type']); } } break; default: $request->setMethod(HTTP_REQUEST_METHOD_GET); break; } $request->sendRequest(); ($location = $request->getResponseHeader("Location")) ? header("Location: " . replaceUrls($location)) : false; foreach (array("Content-type", "Last-Modified", "Expires", "Cache-Control") as $forwardHeader) { ($h = $request->getResponseHeader(strtolower($forwardHeader))) ? header("{$forwardHeader}: {$h}") : false; } $response = $request->getResponseBody(); if (preg_match('#<input type="hidden" name="file" value="(.*)"#isU', $response, $match)) { $tmpfname = tempnam("/tmp", "FOO"); file_put_contents($tmpfname, preg_replace_callback("#[\x7f-\xff]#", create_function('$m', 'return "0x" . dechex(ord($m[0]));'), $match[1])); ob_start(); passthru("unrtf {$tmpfname}"); unlink($tmpfname = tempnam("/tmp", "FOO")); $x = ob_get_clean(); $x = preg_replace_callback('#0x([0-9a-f][0-9a-f])#', create_function('$m', 'return chr(hexdec($m[1]));'), $x); print $x; exit; } $response = replaceUrls($response); print $response; ==================================================

O

67

oldvovk

26 июля 2011, 09:05

#11

Можно и подсетями, конечно, если точно знаете кому она принадлежит и то, что она вам не нужна - к примеру китай, корея, япония там. А то ж можно и всю подсеть, к примеру, корбины блокнуть ))

Просто я к чему предостерег, стучать будут часто и постоянно, с некоторых ip однократно, с других часто и постоянно. Отловить то по логам можно все, но смысл блочить однократников? У меня на одном подопытном было под 300 записей блока ip разных сетей - и смысл? Файл разросся, а из всего сонма только 5-10 особо наглых. Вот их и надо блочить.

Google не советует использовать ВКонтакте появились «Реакции» Пользователи потратили на приложения

LM

117

LinuxMan

26 июля 2011, 09:28

#12

oldvovk:
а из всего сонма только 5-10 особо наглых. Вот их и надо блочить.

Согласен. :)

Да и вообще можно без бана обойтись. Пусть себе простукивают. Особенно если движок выдаёт "стучальщикам" 404 страницу.

C

241

ctit ctit

28 июля 2011, 06:54

#13

Всем спасибо за советы. Конечно, первое, что сделал поставил deny.

Таких агрессивных и до этого было много, некоторых запретил по iptable. А вот этот долбится и долбится.

Tarry:
И как же вы его искали?

Tarry добавил 25.07.2011 в 12:55
И чего вы хотите лечить?

Искал обычным образом. Набрал в поисковике строчку из лога.

А как лечить уже подсказали. Этот скрипт для скачиваний моего сайта, а точнее для автозаполнения данных в формы и скачивание информации. Сайт в своем роде уникальный, инновационный, поэтому, видимо, и специально под него писались скрипты.

А то что скрипты стали доступны google, так в свете последних событий, уже ничему не удивляюсь.

Нагрузка на CPU не Уникальный контент ни есть Луди добрые помогите с

C

241

ctit ctit

31 июля 2011, 06:26

#14

Подскажите еще, плиз.

Пытаюсь блокировать этого мерзавца через iptables

iptables -A INPUT -p all -s 178.49.7.14 -j DROP

iptables -A FORWARD -s 178.49.7.14 -p all -j DROP

Активность в разы снижается, но все равно через немыслемые порты добирается до сервака.

Какую команду надо прописать, чтобы вообще раз и навсегда отключить его?

AdSense будет блокировать недействительный SEO-загадка: сайт внезапно потерял Google: мы больше не

M

278

myhand

31 июля 2011, 09:20

#15

ctit:
Активность в разы снижается, но все равно через немыслемые порты добирается до сервака.
Какую команду надо прописать, чтобы вообще раз и навсегда отключить его?

Нет такой "команды" для Вас, покуда верите в телепатию. Простой

iptables -A INPUT -s 178.49.7.14 -j DROP

заблокирует указанный IP.

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().

C

241

ctit ctit

31 июля 2011, 09:57

#16

Спасибо, помогло. Единственное, чуть изменил синтаксис:

iptables -I INPUT -s 178.49.7.14 -j DROP

CO

49

cap_one

1 августа 2011, 11:20

#17

cyber01:
в корне сайта в файле .htaccess добавь строку deny from 178.49.7.14 по крайней мере это остановит запросы с этого адреса

вообще-то запросы останутся :-) и если запросов оч дофига, то сайт все равно будет лежать.

в файевроле забанить, если фрибсд. примерно так, как и сделали

VPS за 10$: 1200 мгц, 512 RAM (http://goo.gl/Lm2yu) + бесплатная панель + офигенный саппорт.

C

241

ctit ctit

2 августа 2011, 10:17

#18

Теперь другая напасть. С этой же подсетки началась, как это недавно выразился один из форумчан, seo-атака.

С адреса 178.46.41.206 через Яндекс идет куча запросов по поисковым фразам. Сначала обрадовался, трафик вырос в разы. Но потом увидел, что все запросы с одного и того же IP.

Что делать? Писать в Платонам или ждать? Или это что-то другое? Сбой, или просто спамминг?

P.S. Запросы с разными интервалами: от 1 до 20 секунд.

Инженеры Google рассказали об Новые возможности Яндекс.Директа SEO: почему мы делаем

169

Garin33

2 августа 2011, 10:21

#19

Для профилактики можно написать платонам - хуже не будет.

Подсеть всю в бан и все, проблема устранится.

Потому что Drupal - это круто.

C

241

ctit ctit

2 августа 2011, 10:38

#20

Написал, ждем.

Однако злоумышленник, возможно с этого форума. Как только засветил этот адрес, минуты через 3, адрес сменился на 90.151.0.171. Регион тот же (Ханты-Мансийский автономный округ).

Так что, если товарищ, читаешь это сообщение... Ну, вот, что тут скажешь? Ладно, живи.

P.S. К сожалению запросы возросли в несколько раз. Сейчас уже через каждую секунду.

Количество самозанятых на AliExpress В интернете появился ресурс Круглый стол «Государственные проекты

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Ломают сайт в онлайн режиме