Защита от плохих роботов через .htaccess

[ysamarin 0]

Народ помогите от назойливого бота избавиться, а точнее вируса для любого сайта на PHP - webshell.backdoor

Примеры из лога веб-сервера:

"GET /?cmdcmd=action&scan=. HTTP/1.1" 403 - "-" "-"
"GET /redirect.php?url=http://ya.ru HTTP/1.1" 301 240 "-" "-"
"GET /?cmdcmd=action&scan=../../.. HTTP/1.1" 403 - "-" "-"
"GET / HTTP/1.0" 301 228 "-" "-"

"GET / HTTP/1.1" 301 227 "-" "-"
"GET /cgi-bin/php HTTP/1.1" 401 19 "-" "-"

IP всегда меняется, директории и команды cmdcmd почти всегда одинаковый состоящие из огромного списка вариаций, как видно выше из моего лога блокирую по обращениям, но по user-agent к сожалению не получается.

Мой кусок блокировки из .htaccess:

# webshell.backdoor
SetEnvIfNoCase User-Agent ^-$ bad_bot
SetEnvIfNoCase User-Agent "^-$" bad_bot
SetEnvIfNoCase User-Agent ^- bad_bot
SetEnvIfNoCase User-Agent "^-" bad_bot
SetEnvIfNoCase User-Agent -$ bad_bot
SetEnvIfNoCase User-Agent "-$" bad_bot
#
SetEnvIfNoCase Referer ^-$ bad_bot
SetEnvIfNoCase Referer "^-$" bad_bot
SetEnvIfNoCase Referer ^- bad_bot
SetEnvIfNoCase Referer "^-" bad_bot
SetEnvIfNoCase Referer -$ bad_bot
SetEnvIfNoCase Referer "-$" bad_bot
#
SetEnvIfNoCase Referer "^$" bad_user

 

Подскажите пожалуйста как сделать блокировку по refferrer и/или user-agent: "-" "-" или может быть кто с таким сталкивался прошу поделиться информацией. Спасибо!

 

p.s. Трафик огромный несколько тысяч запросов в сутки, а порой доходит до десятков тысяч. Сервер со статическим IP, который крайне не хочется менять. Блокировка 401/403/408 не решает проблемы ограничения нагрузки, но главное в том, что была найдена возможность взломать наш сервер через определенный сервис, после чего были модифицированы огромное количество файлов php и в том числе в /public_html, и т.п. его действие можете прочитать на спец.ресурсах.

[ysamarin 0]

В 27.03.2018 в 11:36 AM, ysamarin сказал:

Народ помогите от назойливого бота избавиться, а точнее вируса для любого сайта на PHP - webshell.backdoor

Примеры из лога веб-сервера:

"GET /?cmdcmd=action&scan=. HTTP/1.1" 403 - "-" "-"
"GET /redirect.php?url=http://ya.ru HTTP/1.1" 301 240 "-" "-"
"GET /?cmdcmd=action&scan=../../.. HTTP/1.1" 403 - "-" "-"
"GET / HTTP/1.0" 301 228 "-" "-"

"GET / HTTP/1.1" 301 227 "-" "-"
"GET /cgi-bin/php HTTP/1.1" 401 19 "-" "-"

IP всегда меняется, директории и команды cmdcmd почти всегда одинаковый состоящие из огромного списка вариаций, как видно выше из моего лога блокирую по обращениям, но по user-agent к сожалению не получается.

Мой кусок блокировки из .htaccess:

# webshell.backdoor
SetEnvIfNoCase User-Agent ^-$ bad_bot
SetEnvIfNoCase User-Agent "^-$" bad_bot
SetEnvIfNoCase User-Agent ^- bad_bot
SetEnvIfNoCase User-Agent "^-" bad_bot
SetEnvIfNoCase User-Agent -$ bad_bot
SetEnvIfNoCase User-Agent "-$" bad_bot
#
SetEnvIfNoCase Referer ^-$ bad_bot
SetEnvIfNoCase Referer "^-$" bad_bot
SetEnvIfNoCase Referer ^- bad_bot
SetEnvIfNoCase Referer "^-" bad_bot
SetEnvIfNoCase Referer -$ bad_bot
SetEnvIfNoCase Referer "-$" bad_bot
#
SetEnvIfNoCase Referer "^$" bad_user

 

Подскажите пожалуйста как сделать блокировку по refferrer и/или user-agent: "-" "-" или может быть кто с таким сталкивался прошу поделиться информацией. Спасибо!

 

p.s. Трафик огромный несколько тысяч запросов в сутки, а порой доходит до десятков тысяч. Сервер со статическим IP, который крайне не хочется менять. Блокировка 401/403/408 не решает проблемы ограничения нагрузки, но главное в том, что была найдена возможность взломать наш сервер через определенный сервис, после чего были модифицированы огромное количество файлов php и в том числе в /public_html, и т.п. его действие можете прочитать на спец.ресурсах.

Проблема найдена в том, что в логах отражается текстовый символ ASCII Hex:2D, а на самом деле это FF (не путать с пробелом Hex:20), т.е. пустой, ничего нет.

Ответ соответственно будет в следующей конструкции:

## SITE REFERER BANING "-"
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^$ [NC] 
RewriteCond %{HTTP_USER_AGENT} ^$ [NC] 
RewriteRule .* - [F]
#