- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Коллеги, второй час уроды из Украины DDoSят сайт. IP-адрес 192.162.113.42 заблокировал. Но в логах проскакивают непонятные IP-адреса, на которые отдается код 200:
--, 192.162.113.42 470 2458 -1\" OR 3+863-863-1=0+0+0+1 --, 192.162.113.42 - - [26/Apr/2018:17:29:01 +0300] "GET /fitness/ HTTP/1.0" 200 2009
2458 '\", 192.162.113.42 - - [26/Apr/2018:17:29:05 +0300] "GET /fitness/ HTTP/1.0" 200 2009
2458 1'\", 192.162.113.42 - - [26/Apr/2018:17:29:12 +0300] "GET /fitness/ HTTP/1.0" 200 2009
9876 \xbf'\xbf\", 192.162.113.42 - - [26/Apr/2018:17:22:13 +0300] "GET /news/ HTTP/1.0" 200 9427
--, 192.162.113.42 473 2486 -1\" OR 2+627-627-1=0+0+0+1 --, 192.162.113.42 - - [26/Apr/2018:17:26:43 +0300] "GET /partners/ HTTP/1.0" 200 2037
Не подскажете, что это за хрень и как ее заблокировать через .htaccess?
nginx или apache лог такой?
Это кусок записей из лога Apache (виртуальный хостинг). В нормальном виде записи выглядят так:
192.162.113.42 - - [26/Apr/2018:17:58:41 +0300] "GET /phobos/ HTTP/1.0" 403 24
На уровне PHP я эту хрень заблокировал:
if (substr($_SERVER['REMOTE_ADDR'], -14) == '192.162.113.42') {
header($_SERVER['SERVER_PROTOCOL'].' 404 Not Found', true, 404);
exit();
}
Но хотелось бы понять, что за формат IP-адреса (то, что выделено жирным шрифтом). Почему-то .htaccess на него ругается, если регуляркой через SetEnvIf Remote_Addr записывать (PHP всю строку IP-адреса, т.е. все, что в нее вставлено, читает нормально).
а точно нет nginx перед этим?
Подмена IP я такого не слышал. apache какой версии?
а точно нет nginx перед этим?
Подмена IP я такого не слышал. apache какой версии?
На хостинге перед Apache 2.0 стоит nginx.
В основном все строки в логе с привычной записью IP в начале строки:
192.162.113.42
Но попадаются строки с абракадаброй.
Но попадаются строки с абракадаброй.
Похоже на какой-то баг с записью. Хостера не спрашивали, что это может быть?
Похоже на какой-то баг с записью. Хостера не спрашивали, что это может быть?
Нет, еще не спрашивал.
Значит админ не верно настроил проксирование в плане определения IP, и в nginx отправляют мусор, а apache пишет его в лог.
Значит админ не верно настроил проксирование в плане определения IP, и d nginx отправkяют мусор, а apache пишет его в лог.
Спасибо за подсказку - отправил ее в техподдержку.
---------- Добавлено 26.04.2018 в 18:37 ----------
Заблокировал через .htaccess все IP, запись которых нестандартна:
SetEnvIf Remote_Addr ^(?!(?:[0-9]{1,3}\.){3}[0-9]{1,3}$) bad_ip
У них скорее всего апатчу отправляется:
HTTP_X_FORWARDED_FOR
Который можно вписать ЛЮБОЙ. Это очень распространённая проблема, когда настраивают по мануалам, и не понимают, как это работает.
Они отправляют:
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
И считывают апатчем X-Forwarded-For вместо X-Real-IP
Отсюда и проблемы.
Но опять же, эти проблемы будут только в логах т.к. апатч тоже не дурак и понимает, что ему дичь скармливают и в PHP будет нормальный IP отображаться. По крайне мене я протестировал на apache 2.4 с модулем real_ip стандартным, всё ок. Мусора нет.
Обычный сканер на дырки + SQL инъекции. А в логи пишеться мусор, так как очевидно метод не GET/POST, а какой нибудь null-байт или что-то вроде того.
Вот эта часть - попытка SQL инъекции.