내 사이트에 대한 봇 공격을 어떻게 막을 수 있습니까?

14

현재 봇 공격을 받고있는 사이트 (워드 프레스로 구축)가 있습니다 (가장 최선의 방법은 말할 수 있음). 파일이 계속 요청되고 있으며 리퍼러는 (거의 항상) turkyoutube.org/player/player.swf입니다. 요청 된 파일은 테마 파일 안에 있으며 항상 " ?v="와 긴 문자열 (예 :)이옵니다 r.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke.

해당 리퍼러에 대해 .htaccess 규칙을 설정하려고 시도했지만 이제는 404 페이지가 계속로드되고 있으며 여전히 많은 대역폭을 사용하고 있습니다. 내 대역폭 사용량이없는 .htaccess 규칙을 만드는 방법이 있습니까?

또한 robots.txt 파일을 만들려고 시도했지만 공격이 무시하는 것 같습니다.

#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]

htaccess botattack

— 트래비스 노스 컷
소스

2

공격은 매번 같은 IP에서 발생합니까?

— 벤 호프만

당신의인가 .htaccess규칙은 의도적으로 404 파일을 트리거? 일반 권한 거부 오류가 발생하면 대역폭 사용량이 줄어 듭니다.

— artlung

이것은 .htaccess 파일의 관련 부분입니다. RewriteCond % {HTTP_REFERER} turkyoutube \ .org [NC] RewriteRule. *-[F]

— Travis Northcutt

그러나 액세스 로그에 "Http Code : 404"가 표시되지만 .htaccess를 변경하면 대역폭 사용이 중지 된 것처럼 보입니다.

— 트래비스 노스 컷

.htaccess주요 워드 프레스 .htaccess규칙 이전 또는 이후에 게시 한 코드가 있습니까?

— artlung

8

작은 코보 미트 작전은 어떻습니까?

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?turkyoutube.org.*$ [NC]
RewriteRule ^(.*)$ http://127.0.0.1/$1 [R=401,L]

참고, 검증되지 않은 하지만 함께 다시 자신을 그들로부터 요청을 리디렉션해야합니다 401 Not Authorized상태 코드입니다. 즉, 봇이 리디렉션을 처리하더라도 (아마도) 가능성이 있지만 여전히 상태 코드가 표시됩니다. 404 상태 코드가 더 효과적 일 수 있습니다. 봇에게 아마도 포기해야한다고 알려 주어야합니다.

주석에 게시 한 규칙은 호스트와 조금 더 일치하도록 표현식을 확장하는 경우에도 적합합니다. 나는 실제 에이전트와 비슷한 것을 사용하여 사용자 에이전트 일치를 차단합니다 libwww-perl.

RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* - [F,L]

— 팀 포스트
소스

많은 봇이 HTTP_USER_AGENT = libwww-perl을 가지고 있다는 것을 알고 있습니까? 이것은 대부분의 봇이 거짓말하는 것 같습니다.

— Liam

@Liam-놀랍게도, 그들 중 상당 비율은 실제 브라우저로 위장하려고 시도하지 않습니다 (물론 그렇지 않은 것 이상). 나는 그것이 이상하다고 생각했다 :)

— Tim Post

여기에서 매우 느린 정규 표현식을 많이 사용하고 있습니다. 는 .*$훨씬 빠른 것도 동일합니다. 또한, 어쨌든 항목을 무시하므로 RewriteRule .* - [F,L]필요가 없습니다 *.

— Alexis Wilke 2016 년

2

IP 차단 외에도 요청중인 파일을 면밀히 조사합니다. WordPress 및 Joomla와 같은 오픈 소스 시스템을 악용하는 것은 매우 일반적인 일입니다. 이것이 자주 업데이트되는 이유 중 하나입니다. 몇 가지 업데이트를 무시한 경우 누군가 사이트에 침투했을 수 있습니다.

이 시나리오는 한번도 완전히 배치되지는 않았지만 (제자리에 남아 있지 않은) 테스트 사이트에서 한 번, 그리고 유효한 액세스 권한을 가진 직원이 자신의 가족을 위해 phpBB를 "밀어 넣은"회사 웹 사이트에서 두 번 나에게 발생했습니다. 의사 소통하기-업데이트로 인해 문제가 발생하지 않았을 것입니다. 두 경우 모두 귀하의 경우에 해당되는 것처럼 분석에서 문제가 발견되었습니다. Joomla 공격은 사용자의 브라우저가 소프트웨어를로드하게하는 자바 스크립트를 주입 한 반면, 후자는 해커가 사용자가 매번 p * rn로 연결되는 분산 된 "대체"Google 사이트의 일부인 서버에 파일을 업로드 할 수 있도록 허용했습니다. 전적으로 일반적인 해킹은 아니지만 DB 사용자 표를 참조하십시오.

나는 확실히 알람을 유발하지는 않지만, 무슨 일이 일어나고 있는지 정확히 알기 위해 한 번에 사이트를 파헤치는 데 시간이 걸리지 않습니다. 때때로 당신은 당신이 찾은 것에 놀랄 것입니다.

— bpeterson76
소스

실제로 이것이 실제로 일어나고 있다고 생각합니다. 요청 된 파일이 없어야하는 것처럼 보입니다. 고맙게도, 친절한 워드 프레스 핵심 기고자가 저에게 연락을 취했습니다.

— 트래비스 노스 컷

1

공격이 매번 같은 IP 번호 (또는 소수의 IP 번호)에서 오는 경우 방화벽에서 해당 IP 번호를 차단해야합니다. 웹 서버에 대역폭이나 부하가 들지 않아야합니다.

이 기사에 대한 루트 액세스 권한 이 있는 Linux 시스템에서이를 호스팅하는 경우이를 수행하는 방법에 대해 설명합니다.

— 크리스
소스

매번 같은 IP에서 나오는 것은 아닙니다.

— 트래비스 노스 컷

0

모든 서버에서 DenyHosts [1]를 사용합니다. DenyHosts는 n 번 후에 로그인에 실패한 모든 IP를 허용하지 않습니다. 알림을 보낼 수도 있습니다. 그래서 당신은 어떤 ips / hosts가 로그인을했는지에 대한 훌륭한 개요를 가지고 있습니다; 또한 웹 업데이트 기능 및 기타 훌륭한 기능이 있습니다. 그러나 여전히 설치가 매우 간단합니다.

다른 방법은 중국 또는 귀하의 목표 그룹이 아닌 다른 국가의 모든 IP 범위 / 블록 (예 :)을 허용하지 않는 것입니다. 온라인 "블랙리스트"또는 hosts.deny 파일 (예 : DenyHosts)을 사용하여 수행 할 수 있습니다.

[1] http://denyhosts.sourceforge.net/

— fwaechter
소스

-1

301을 fbi 사이트로 리디렉션하면됩니다.

RewriteCond % {HTTP_REFERER} ^ http (s)? : // (www.)? turkyoutube.org의 RewriteEngine $ [NC] RewriteRule ^ (. ) $ http://www.fbi.gov [R = 301, L]

— 핫 비즐
소스