自分のサイトでボット攻撃を止めるにはどうすればよいですか？

14

現在、ボット攻撃を受けている（wordpressで構築された）サイトがあります（私が知る限り）。ファイルは何度もリクエストされ、リファラーは（ほぼ毎回）turkyoutube.org/player/player.swfです。要求されているファイルは私のテーマファイルの奥深くにあり、常に「?v=」と長い文字列（つまりr.php?v=Wby02FlVyms&title=izlesen.tk_Wby02FlVyms&toke）が続きます。

そのリファラーの.htaccessルールを設定しようとしましたが、動作しているようですが、404ページが何度もロードされており、まだ多くの帯域幅を使用しています。私の側で帯域幅の使用を必要としない.htaccessルールを作成する方法はありますか？

robots.txtファイルも作成しようとしましたが、攻撃はそれを無視しているようです。

#This is the relevant part of the .htaccess file:
RewriteCond %{HTTP_REFERER} turkyoutube\.org [NC]
RewriteRule .* - [F]

htaccess botattack

— トラビスノースカット
ソース

2

攻撃は毎回同じIPから発生していますか？

— ベンホフマン

あなたの.htaccessルールは404ファイルを意図的にトリガーしていますか？単純な許可拒否エラーをスローすると、帯域幅の使用量が少なくなるようです。

— -artlung

これは.htaccessファイルの関連部分です。RewriteCond％{HTTP_REFERER} turkyoutube \ .org [NC] RewriteRule。*-[F]

— Travis Northcutt

ただし、アクセスログに「Http Code：404」と表示されていても、.htaccessを変更すると帯域幅の使用が停止したように見えます。

— トラビスノースカット

.htaccessメインのワードプレス.htaccessルールの前または後に投稿したコードはありますか？

— -artlung

8

少しコルボマイトの操作はいかがですか？

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?turkyoutube.org.*$ [NC]
RewriteRule ^(.*)$ http://127.0.0.1/$1 [R=401,L]

テストされていないことに注意してください。ただし、401 Not Authorizedステータスコードを使用して、リクエストを自分自身にリダイレクトする必要があります。つまり、ボットがリダイレクトを処理する場合（非常に低い）でも、ステータスコードは表示されます。404ステータスコードの方が効果的です。どちらかがボットに、おそらくgiveめるべきだと伝える必要があります。

ホストをより一致させるために表現を広げると、コメントに投稿したルールも十分です。ユーザーエージェントの一致をブロックするために（実際のルールに関して）近いものを使用しますlibwww-perl。

RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* - [F,L]

— ティムポスト
ソース

多くのボットがHTTP_USER_AGENT = libwww-perlを持っていることを見つけましたか？これは、ほとんどのボットがうそをつくもののようです。

— リアム

@Liam-驚くべきことに、かなりの割合の人が実際のブラウザになりすまそうとはしません（確かに、そうではありません）。それも奇妙だと思った:)

— ティムポスト

ここでは非常に遅い正規表現をたくさん使用していることに注意してください。これ.*$は何もしないのと同等で、はるかに高速です。また、とにかくエントリを無視RewriteRule .* - [F,L]するため、の必要もありませ*ん。

— アレクシスウィルケ14年

2

IPのブロックとは別に、要求されているファイルを精査します。WordPressやJoomlaなどのオープンソースシステムが悪用されるのはごく一般的なことであり、これが頻繁に更新される理由の1つです。いくつかの更新を怠った場合、誰かがあなたのサイトに侵入した可能性があります。

このシナリオは2回発生しました。1回は完全に展開されなかった（ただしそのままでした）テストサイトで、もう1回は有効なアクセス権を持つ従業員が家族のためにphpBBを「スナック」する会社のWebサイトです。更新することで問題を回避できたはずです。どちらの場合でも、問題は分析で発見されました。あなたのケースでは真実かもしれません。Joomla攻撃は、ユーザーのブラウザにソフトウェアをロードさせるjavascriptを挿入しました。後者は、ハッカーが、ユーザーを毎回p * rnに導く分散「代替」Googleサイトの一部であるサーバーにファイルをアップロードできるようにしました。完全に一般的なハックではありませんが、念のため、DBユーザーテーブルを確認してください。

私は確かに警告を発するつもりはありませんが、何が起こっているのかを正確に知るために時々あなたのサイトを掘り下げるために時間をかけることは決して痛いことではありません。時々、あなたはあなたが見つけたものに驚くでしょう。

— bpeterson76
ソース

これはまさに実際に起こっていることだと思います。要求されているファイルがそこにあってはならないように見えます。ありがたいことに、フレンドリーなワードプレスのコア貢献者が私に連絡してくれたので、私はそれを理解するつもりです。

— トラビスノースカット

1

攻撃が毎回同じIP番号（または少数のIP番号のセット）から発生している場合、ファイアウォールでそのIP番号をブロックする必要があります。そのため、帯域幅やWebサーバーの負荷がかかりません。

この記事へのルートアクセス権があるLinuxマシンでホストしている場合、これを行う方法について説明します。

— クリス
ソース

毎回同じIPから送信されるわけではありません。

— トラビスノースカット

0

すべてのサーバーでDenyHosts [1]を使用しています。DenyHostsは、n回ログインに失敗したすべてのIPを許可しません。通知を送信することもできます。それで、ログインが来たIP /ホストの概要がわかります。また、Webアップデート機能やその他の優れた機能も備えています。ただし、インストールは非常に簡単です。

他の方法は、中国またはターゲットグループではない他の国からのすべてのIP範囲/ブロック（たとえば）を禁止することです。これは、オンラインの「ブラックリスト」またはhosts.denyファイル（DenyHostsなど）を使用して実行できます。

[1] http://denyhosts.sourceforge.net/

— Fwaechter
ソース

-1

301をfbiサイトにリダイレクトするだけです。

RewriteCond％{HTTP_REFERER}上のRewriteEngine ^ http（s）？：//（www。）？turkyoutube.org。$ [NC] RewriteRule ^（。）$ http://www.fbi.gov [R = 301、L]

— ホットビズル
ソース