Защита сервера от скрытых прокси
![]() |
Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
|
| ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
| [216.73.217.58] |
|
|
Правила!
Защита сервера от скрытых прокси
|
Сообщ.
#1
,
|
|
|
|
Столкнулся с проблемой. Нужно забанить адреса, но проблема в том что эти хосты не имеют ip (Unable to resolve hostname unknown.hostforweb.com to IP address).
Ставлю deny from unknown.hostforweb.com - проходят, ставлю забанить всё сеть deny from 66.225.192.0 - 66.225.255.255. Всё равно проходят. А в хостах ставять иногда мой собственный адрес. Как боротся с этими спамерами и липовой заразой? |
|
Сообщ.
#2
,
|
|
|
|
Попробуйте забанить 66.225.192.1 - 66.225.255.255 так
|
|
Сообщ.
#3
,
|
|
|
|
Проблема в том что таких у меня десяток, а некоторые обнаглели и вписывают в хост мой адрес, будть я сам у себя качаю
66.225.192.1 - 66.225.255.255 - бестолку. Там просто хост не соответствуе ип, только почему-то говору апачу банить по хосту deny from unknown.hostforweb.com он его всё равно пропускает, хотя в логи и пишет что был гет запрос с unknown.hostforweb.com |
|
Сообщ.
#4
,
|
|
|
|
сделайте netstat -a во время коннекта(когда сканят) и получите их реальный ИП.
Кстати не понял, каким образом они залазиют к вам в хост файл? Может зараза сидит? |
|
Сообщ.
#5
,
|
|
|
|
unknown.hostforweb.com - у многих такая хрень была, это спамерный жук лепит ссылки в формы, ип у него сотня (в основном юго-восточная азия).
В поисковеке вы увидети сколько гоМ.. он раскидал по инету и апи все разные. Здесь я чё не поиму если ставлю deny from unknown.hostforweb.com, почему он пропускает запрос от этого хоста, там что разные способы индефикации! netstat - замучаюсь каждый раз езо штопать. Цитата каким образом они залазиют к вам в хост файл? О чем вы? |
|
Сообщ.
#6
,
|
|
|
|
Цитата AlexJ @ сделайте netstat -a во время коннекта(когда сканят) и получите их реальный ИП. Сомневаюсь что поможет. Похоже что нагнули DNS сервер. |
|
Сообщ.
#7
,
|
|
|
|
Цитата Roman S @ Цитата каким образом они залазиют к вам в хост файл? О чем вы? Я про это "а некоторые обнаглели и вписывают в хост мой адрес, будть я сам у себя качаю" Давайте с начала с конфигурации, а то может получится что Вы подрузумеваете одно, а мы другое... Какая Ось? какой сервис-порт открываете наружу? 80,25,110,21...23 и чем(что за сервер?(апача, ЛайтСерв, виндовый сервер )Какой фаер? Есть ли аппаратный шлюз-фаер? Какой коннект? (Статический IP или динамический?) Ваше доменное имя зарегестрированно или это динамически назначается провайдером? Если лезут на 25 порт, то согласно протокола имя хоста указывается "вручную" т.е. отправитель от барабана может поставить туда (имя хоста-отправителя)какую угодно лабуду, она никак не связана с реальным доменным именем(точно также могут подставлять туда ваш ИП или ваше доменное имя провоцируя систему как будто кто то свой ломится. типа: [SMTP:72:IP-моей-машины] Mail from: <zzz@mail2000.com.tw> [SMTP:124:www.MyMainServer.com] Mail from: <michael78694@MyMainServer.com> Если мои подозрения оправдываются (smtp-сервер.) то фиксируйте их реальное ИП, потом идите на www.dnsstuff.com(или подобные) и в поле whois вбивайте их ИП, получите диапозон-ИП провайдера из сети которого лезут г...ки и блокайте именно этот диапозон. Есть правда "товарищи" которые регестрируют домен в networksolution, там сложнее так как эти регистранты не предоставляют публик-информацию о "клиентах". Не пытайтесь ответить подобным сканом обратно - просто потеря времени, как правило они сидят на динамических ИП, или в tor-овских сетях. Если все таки найдете их провайдера , то пишите туда срочно письмо и в нетворк-абьюз с прикрепленными логами. Еще. Если у вас запущен смтп-сервак, запретите релэй для внешних ИП (разрешить релэй только для зарегестрированных пользователей) Главный поинт их скана использовать ваш сервак как шлюз для рассылки спама от "чистого" ИП. |
|
Сообщ.
#8
,
|
|
|
|
Цитата Я про это "а некоторые обнаглели и вписывают в хост мой адрес, будть я сам у себя качаю" К примеру мой сайт называется: mywww.ru. А в логах отражается: mywww.ru - - [09/Mar/2007:10:39:03 +0300] "GET / HTTP/1.1" 200 90446 Итого получается, за сутки я у себя сам скачал 10 000 страниц. Но это не я , нет у меня таких функции на сервере, что бы качали саме у себя через http!Речь идёт о 80 порте. Связка там у меня стоит nginx - > apache. Все запросы проходят через nginx:80 Доменное имя зарегистрированно и имеет статический IP. На TCP/IP можно тоже липовый IP вписать. только обратно пакет не получишь.Это как сказал Rust DNS парят. Чего я не пойму, в конфе Apache стоит: deny from unknown.hostforweb.com А в логе пишет что unknown.hostforweb.com запросил строницу и получил её. unknown.hostforweb.com - - [09/Mar/2007:10:39:03 +0300] "GET / HTTP/1.1" 200 90446 Вопрос, почему он её получил если я указал deny from unknown.hostforweb.com? Легче же сравнивать по хосту, если он представляется как unknown.hostforweb.com, то почему бы не иметь его как unknown.hostforweb.com. Хотя можно сделать и такой алгоритм: IF REMOTE_ADDR = unknown.hostforweb.com BAN HTTP_CLIENT_IP Только вопрос будет ли верным HTTP_CLIENT_IP. А unknown.hostforweb.com у многих в статистики стоит и жрёт всё подряд. ЗДЕСЬ вопрос, как автоматом его отшивать. |
|
Сообщ.
#9
,
|
|
|
|
Ну как господа, не у кого нет предложения как отправить спамера к проотцам?
|
|
Сообщ.
#10
,
|
|
|
|
Цитата Roman S @ Ну как господа, не у кого нет предложения как отправить спамера к проотцам? ![]() Банить только по ИП диапозону провайдера спамера, но не по доменному имени. |