Jump to content

ysamarin

Новичок
  • Content Count

    2
  • Joined

  • Last visited

About ysamarin

  • Rank
    Новичок

Profile Information

  • Специализация
    Другое
  • Профиль ID
    ysamarin
  1. Проблема найдена в том, что в логах отражается текстовый символ ASCII Hex:2D, а на самом деле это FF (не путать с пробелом Hex:20), т.е. пустой, ничего нет. Ответ соответственно будет в следующей конструкции: ## SITE REFERER BANING "-" RewriteEngine on RewriteCond %{HTTP_REFERER} ^$ [NC] RewriteCond %{HTTP_USER_AGENT} ^$ [NC] RewriteRule .* - [F] #
  2. Народ помогите от назойливого бота избавиться, а точнее вируса для любого сайта на PHP - webshell.backdoor Примеры из лога веб-сервера: "GET /?cmdcmd=action&scan=. HTTP/1.1" 403 - "-" "-" "GET /redirect.php?url=http://ya.ru HTTP/1.1" 301 240 "-" "-" "GET /?cmdcmd=action&scan=../../.. HTTP/1.1" 403 - "-" "-" "GET / HTTP/1.0" 301 228 "-" "-" "GET / HTTP/1.1" 301 227 "-" "-" "GET /cgi-bin/php HTTP/1.1" 401 19 "-" "-" IP всегда меняется, директории и команды cmdcmd почти всегда одинаковый состоящие из огромного списка вариаций, как видно выше из моего лога блокирую по обращениям, но по user-agent к сожалению не получается. Мой кусок блокировки из .htaccess: # webshell.backdoor SetEnvIfNoCase User-Agent ^-$ bad_bot SetEnvIfNoCase User-Agent "^-$" bad_bot SetEnvIfNoCase User-Agent ^- bad_bot SetEnvIfNoCase User-Agent "^-" bad_bot SetEnvIfNoCase User-Agent -$ bad_bot SetEnvIfNoCase User-Agent "-$" bad_bot # SetEnvIfNoCase Referer ^-$ bad_bot SetEnvIfNoCase Referer "^-$" bad_bot SetEnvIfNoCase Referer ^- bad_bot SetEnvIfNoCase Referer "^-" bad_bot SetEnvIfNoCase Referer -$ bad_bot SetEnvIfNoCase Referer "-$" bad_bot # SetEnvIfNoCase Referer "^$" bad_user Подскажите пожалуйста как сделать блокировку по refferrer и/или user-agent: "-" "-" или может быть кто с таким сталкивался прошу поделиться информацией. Спасибо! p.s. Трафик огромный несколько тысяч запросов в сутки, а порой доходит до десятков тысяч. Сервер со статическим IP, который крайне не хочется менять. Блокировка 401/403/408 не решает проблемы ограничения нагрузки, но главное в том, что была найдена возможность взломать наш сервер через определенный сервис, после чего были модифицированы огромное количество файлов php и в том числе в /public_html, и т.п. его действие можете прочитать на спец.ресурсах.
×
×
  • Create New...