Eu tenho um site (construído com wordpress) que está atualmente sob um ataque de bot (o melhor que posso dizer). Um arquivo está sendo solicitado repetidamente e o referenciador é (quase sempre) turkyoutube.org/player/player.swf
. O arquivo que está sendo solicitado está dentro dos meus arquivos de tema e é sempre seguido por " ?v=
" e uma string longa (ie r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke
).
Tentei definir uma regra .htaccess para esse referenciador, que parece funcionar, exceto que agora minha página 404 está sendo carregada repetidamente, o que ainda está usando muita largura de banda. Existe uma maneira de criar uma regra .htaccess que não exija uso de largura de banda da minha parte?
Eu também tentei criar um arquivo robots.txt, mas o ataque parece estar ignorando isso.
#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]
.htaccess
regra está ativando intencionalmente o arquivo 404? Parece que lançar um erro de permissão simples negado seria menos uso de largura de banda..htaccess
código que postou antes ou depois das principais.htaccess
regras do wordpress ?Respostas:
Que tal uma pequena manobra de corbomita ?
Observe que não foi testado , mas deve redirecionar solicitações deles de volta para si mesmos com um
401 Not Authorized
código de status. Ou seja, se o bot manipular redirecionamentos (muito improvável), mas ainda verá o código de status. Um código de status 404 pode ser mais eficaz. Qualquer um deve dizer ao bot que provavelmente deve desistir.A regra que você postou nos comentários também é mais que adequada se você ampliar a expressão para corresponder um pouco mais ao host. Eu uso algo próximo (na regra real) para bloquear a correspondência de agentes do usuário
libwww-perl
:fonte
.*$
é equivalente a nada que é muito mais rápido. TambémRewriteRule .* - [F,L]
não é necessário,*
pois você ignora a entrada de qualquer maneira.Além do bloqueio de IP, eu examinaria os arquivos que estão sendo solicitados. É algo bastante comum que sistemas de código aberto, como WordPress e Joomla, sejam explorados, e esse é um dos motivos pelos quais eles são atualizados com frequência. Se você negligenciou algumas atualizações, é possível que alguém tenha penetrado no seu site.
Já tive esse cenário duas vezes, uma vez em um site de teste que nunca foi totalmente implantado (mas foi deixado no local) e outra em um site da empresa em que um funcionário com acesso válido "roubou" um phpBB para sua família comunicar - as atualizações teriam evitado os problemas. Nos dois casos, o problema foi encontrado na análise, pois parece ser verdade no seu caso. O ataque do Joomla injetou javascript que fazia com que o navegador do usuário carregasse o software, enquanto o último permitia que o hacker enviasse arquivos para o servidor que faziam parte de um site alternativo distribuído do Google, que levava o usuário a p * rn sempre. Embora não seja inteiramente um hack comum, verifique a tabela de usuários do banco de dados, apenas por precaução.
Certamente não pretendo causar alarme, mas nunca é demais gastar tempo para vasculhar seu site de vez em quando para saber exatamente o que está acontecendo. Às vezes, você ficará surpreso com o que encontra.
fonte
Se o ataque vier do mesmo número de IP a cada vez (ou de um pequeno conjunto de números de IP), você deverá bloquear esse número de IP no firewall. Isso não deve custar largura de banda ou carga no seu servidor web.
Se você o estiver hospedando em uma máquina Linux com acesso root a este artigo, explica como fazer isso.
fonte
Eu uso DenyHosts [1] em todos os meus servidores. DenyHosts não permite todos os IPs que falharam no login após n vezes. Você também pode enviar notificações. Então você tem uma ótima visão geral de onde ips / hosts vieram; e também possui uma função de atualização da web e outros ótimos recursos. Mas ainda é muito simples de instalar.
Um outro método é proibir todas as faixas / blocos de IP (por exemplo) da China ou de outros países que não são o seu grupo-alvo. Isso pode ser feito com "Listas negras" on-line ou apenas com o arquivo hosts.deny (como DenyHosts).
[1] http://denyhosts.sourceforge.net/
fonte
Basta fazer o redirecionamento 301 para o site fbi.
RewriteEngine em RewriteCond% {HTTP_REFERER} ^ http (s)?: // (www.)? Turkyoutube.org. $ [NC] RewriteRule ^ (. ) $ Http://www.fbi.gov [R = 301, L]
fonte