- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Suhosin постоянно ругается на странные запросы, не могу понять, откуда они берутся:
Oct 26 21:19:13 *** suhosin[7814]: ALERT - configured GET variable name length limit exceeded - dropped variable '!!iterator_call(context,_value,_index);______if_(!result)_throw_$break;____});____return_result;__}' (attacker '178.95.129.175', file '/***/***/index.php')
Атакеры разные.
Сам запрос выглядит примерно так:
46.250.114.131 - - [26/Oct/2013:22:59:21 +0200] "GET /topic/84431/function%20sortBy(iterator,%20context)%20%7B%20%20%20%20return%20this.map(function(value,%20index)%20%7B%20%20%20%20%20%20
return%20%7B%20%20%20%20%20%20%20%20value:%20value,%20%20%20%20%20%20%20%20criteria:%20iterator.call(context,%20value,%20index)
%20%20%20%20%20%20%7D;%20%20%20%20%7D).sort(function(left,%20right)%20%7B%20%20%20%20%20%20var%20a%20=%20left.criteria,%20b%20
=%20right.criteria;%20%20%20%20%20%20return%20a%20%3C%20b%20?%20-1%20:%20a%20%3E%20b%20?%201%20:%200;%20%20%20%20}).pluck('value');%20%20} HTTP/1.1" 301 37 "http://www.***.ru/topic/84431/" "Opera/9.80 (Windows NT 6.1; MRA 8.1
(build 6327)) Presto/2.12.388 Version/12.15"
Т.е. рефер мой, это не внешняя ссылка. В инете ничего похожего не нашел.
Бань по IP 46.250.114.131
А что запросы,что реферы могут быть разные.
Т.е. рефер мой, это не внешняя ссылка.
refer - это просто один из заголовков http запроса, его клиент может ставить любой, как и user-agent 🙄
Вопрос не в банить/не банить, мне хочется понять, что это? Если это какой-то ботнет, то какую уязвимость он пытается эксплуатировать? Если это DDOS, то он дохлый какой-то, чтобы на него вообще внимание обращать.
Посмотрел по IP, это не пользователи форума, добавил в IPTABLES
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "iterator" --algo kmp -j DROP
Посмотрю на результат, может потом чуть уточню фильтр по реальным данным.
Скорее всего, это просто перебор в автоматическом режиме по списку уязвимостей для какого-то скрипта. "А вдруг прокатит".
Банить тут лучше не по ip, а например, анализируя логи каким-нить fail2ban.
Через сравнение содержимого пакета накладно, да и получить false-positive легко.
могу ошибаться, но следы в логе похожи на действия http://ru.wikipedia.org/wiki/XRumer