На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила!
Пожалуйста, подумайте два! раза перед тем как нажать кнопку Отправить.
Убедительная просьба пользоваться поиском и ИНСТРУКЦИЕЙ, и только потом спрашивать!


  • Публикация вирусов/эксплоитов в бинарном виде запрещена!
  • Запрещается размещать прямые ссылки на зараженные сайты! (если хочется предупредить, то исправляйте HTTP://... на ХТТП://...)
  • Категорически запрещается поиск кряков/варезов/серийников, а также размещение ссылок на серийники/ключи/кряки и т.п.
  • Запрещается использование оскорбительных выражений в адрес участников коференции, в том числе и в личной переписке.


Модераторы: Rust
  
> Защита сервера от скрытых прокси
    Столкнулся с проблемой. Нужно забанить адреса, но проблема в том что эти хосты не имеют ip (Unable to resolve hostname unknown.hostforweb.com to IP address).

    Ставлю deny from unknown.hostforweb.com - проходят, ставлю забанить всё сеть deny from 66.225.192.0 - 66.225.255.255. Всё равно проходят.
    А в хостах ставять иногда мой собственный адрес.

    Как боротся с этими спамерами и липовой заразой?
      Попробуйте забанить 66.225.192.1 - 66.225.255.255 так ;)
        Проблема в том что таких у меня десяток, а некоторые обнаглели и вписывают в хост мой адрес, будть я сам у себя качаю :D
        66.225.192.1 - 66.225.255.255 - бестолку.
        Там просто хост не соответствуе ип, только почему-то говору апачу банить по хосту deny from unknown.hostforweb.com он его всё равно пропускает, хотя в логи и пишет что был гет запрос с unknown.hostforweb.com
          сделайте netstat -a во время коннекта(когда сканят) и получите их реальный ИП.
          Кстати не понял, каким образом они залазиют к вам в хост файл?
          Может зараза сидит?
            unknown.hostforweb.com - у многих такая хрень была, это спамерный жук лепит ссылки в формы, ип у него сотня (в основном юго-восточная азия).
            В поисковеке вы увидети сколько гоМ.. он раскидал по инету и апи все разные.

            Здесь я чё не поиму если ставлю deny from unknown.hostforweb.com, почему он пропускает запрос от этого хоста, там что разные способы индефикации!
            netstat - замучаюсь каждый раз езо штопать.

            Цитата
            каким образом они залазиют к вам в хост файл?

            О чем вы?
              Цитата AlexJ @
              сделайте netstat -a во время коннекта(когда сканят) и получите их реальный ИП.

              Сомневаюсь что поможет. Похоже что нагнули DNS сервер.
                Цитата Roman S @
                Цитата
                каким образом они залазиют к вам в хост файл?

                О чем вы?

                Я про это "а некоторые обнаглели и вписывают в хост мой адрес, будть я сам у себя качаю"
                Давайте с начала с конфигурации, а то может получится что Вы подрузумеваете одно,
                а мы другое...

                Какая Ось? какой сервис-порт открываете наружу? 80,25,110,21...23 :) и чем(что за сервер?(апача, ЛайтСерв, виндовый сервер )
                Какой фаер? Есть ли аппаратный шлюз-фаер? Какой коннект? (Статический IP или динамический?) Ваше доменное имя зарегестрированно или это динамически назначается провайдером?

                Если лезут на 25 порт, то согласно протокола имя хоста указывается "вручную" т.е. отправитель от барабана может поставить туда (имя хоста-отправителя)какую угодно лабуду, она никак не связана с реальным доменным именем(точно также могут подставлять туда ваш ИП или ваше доменное имя провоцируя систему как будто кто то свой ломится.
                типа:
                [SMTP:72:IP-моей-машины] Mail from: <zzz@mail2000.com.tw>
                [SMTP:124:www.MyMainServer.com] Mail from: <michael78694@MyMainServer.com>
                Если мои подозрения оправдываются (smtp-сервер.) то фиксируйте их реальное ИП,
                потом идите на www.dnsstuff.com(или подобные) и в поле whois вбивайте их ИП, получите диапозон-ИП провайдера из сети которого лезут г...ки и блокайте именно этот диапозон. Есть правда "товарищи" которые регестрируют домен в networksolution, там сложнее так как эти регистранты не предоставляют публик-информацию о "клиентах". Не пытайтесь ответить подобным сканом обратно - просто потеря времени, как правило они сидят на динамических ИП, или в tor-овских сетях.
                Если все таки найдете их провайдера , то пишите туда срочно письмо и в нетворк-абьюз с прикрепленными логами.
                Еще. Если у вас запущен смтп-сервак, запретите релэй для внешних ИП (разрешить релэй только для зарегестрированных пользователей) Главный поинт их скана использовать ваш сервак как шлюз для рассылки спама от "чистого" ИП.
                  Цитата
                  Я про это "а некоторые обнаглели и вписывают в хост мой адрес, будть я сам у себя качаю"

                  К примеру мой сайт называется: mywww.ru.
                  А в логах отражается:

                  mywww.ru - - [09/Mar/2007:10:39:03 +0300] "GET / HTTP/1.1" 200 90446

                  Итого получается, за сутки я у себя сам скачал 10 000 страниц. Но это не я :), нет у меня таких функции на сервере, что бы качали саме у себя через http!

                  Речь идёт о 80 порте. Связка там у меня стоит nginx - > apache. Все запросы проходят через nginx:80
                  Доменное имя зарегистрированно и имеет статический IP.

                  На TCP/IP можно тоже липовый IP вписать. только обратно пакет не получишь.Это как сказал Rust DNS парят.

                  Чего я не пойму, в конфе Apache стоит:
                  deny from unknown.hostforweb.com

                  А в логе пишет что unknown.hostforweb.com запросил строницу и получил её.

                  unknown.hostforweb.com - - [09/Mar/2007:10:39:03 +0300] "GET / HTTP/1.1" 200 90446

                  Вопрос, почему он её получил если я указал deny from unknown.hostforweb.com? Легче же сравнивать по хосту, если он представляется как unknown.hostforweb.com, то почему бы не иметь его как unknown.hostforweb.com. :lol:

                  Хотя можно сделать и такой алгоритм:
                  IF REMOTE_ADDR = unknown.hostforweb.com BAN HTTP_CLIENT_IP

                  Только вопрос будет ли верным HTTP_CLIENT_IP.

                  А unknown.hostforweb.com у многих в статистики стоит и жрёт всё подряд.


                  ЗДЕСЬ вопрос, как автоматом его отшивать.
                    Ну как господа, не у кого нет предложения как отправить спамера к проотцам? :D
                      Цитата Roman S @
                      Ну как господа, не у кого нет предложения как отправить спамера к проотцам? :D

                      Банить только по ИП диапозону провайдера спамера, но не по доменному имени.
                      0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                      0 пользователей:


                      Рейтинг@Mail.ru
                      [ Script execution time: 0.0929 ]   [ 15 queries used ]   [ Generated: 2.07.26, 05:23 GMT ]