Кто нам жить и работать мешает
Недавно заметил что на один из моих сайтов постоянно прилетают файлы с интересными именами тира "zHppl1872.php". Причем прилетают они только в те каталоги которые по тем или иным причинам пришлось разрешить запись.
Мало того хозяин хостинга заблокировал мне отправку писем со всех моих сайтов.
Немного покопавшись в логах доступа к файлам сайта я выделил IP адреса, которые в общем-то если не засоряли мой сайт, то активно использовали его, передавая на него информацию и возможно рассылая СПАМ от моего имени.
Ниже приведены IP адреса и расшифровка с указанием страны, города и если возможно конкретного ресурса с которых возможна такая атака.
|
|
|
|
|
5.9.41.3 | Германия |
static.3.41.9.5.clients.your-server.de |
5.9.41.0/27 |
|
37.150.171.59 | Казахстан | 37.150.168.0/22 | ||
45.56.77.190 | США | Далас |
li927-190.members.linode.com |
45.56.64.0/18 |
50.62.176.242 | США | Шотдеил |
p3plcpnl0726.prod.phx3.secureserver.net |
50.62.0.0/15 |
54.79.3.127 | Австралия | Сидней |
ec2-54-79-3-127.ap-southeast-2.compute.amazonaws.com |
|
66.147.244.96 | США | Прово |
box796.bluehost.com |
|
67.225.137.210 | США | Лансин | 67.225.128.0/17 | |
69.89.31.200 | США | Прово |
69.89.16.0/20 |
|
74.220.215.232 | США | Орем |
host232.hostmonster.com |
74.220.192.0/19 |
84.38.48.140 | Италия | Монтемарциано |
oldconoscereilbiologico.regione.marche.it |
84.38.48.0/20 |
93.125.99.18 | Беларусь | Минск |
vh48.hosterby.com |
93.125.99.0/24 |
97.74.24.52 | США |
Шотдеил |
p3nlhg136.shr.prod.phx3.secureserver.net |
97.74.0.0/16 |
141.170.2.53 | Великобритания | Лидс |
his.is.a.tor.exit-node.net |
141.170.0.0/18 |
160.153.146.68 | США |
Шотдеил |
n3plcpnl0019.prod.ams3.secureserver.net |
160.153.0.0/16 |
173.201.196.143 | США | Шотдеил |
p3nlhg393.shr.prod.phx3.secureserver.net |
173.201.0.0/16 |
178.210.90.90 | Россия | Москва |
tproxy1102.nic.ru |
178.210.64.0/19 |
184.168.152.6 | США | Шотдеил |
p3nlhg549.shr.prod.phx3.secureserver.net |
184.168.0.0/16 |
184.168.200.212 | США | Шотдеил |
p3plcpnl0048.prod.phx3.secureserver.net |
184.168.0.0/16 |
188.120.243.235 | Россия | Базарн |
bazarn.ru |
188.120.240.0/21 |
188.165.50.88 | Франция |
mail.pentex.pl |
188.165.48.0/21 |
|
194.150.185.147 | Польша | Варшава |
147.185.rev.mni.pl |
194.150.184.0/23 |
198.57.247.215 | США | Прово |
gator3251.hostgator.com |
198.57.128.0/17 |
198.71.228.18 | США | Шотдаил |
a2plcpnl0193.prod.iad2.secureserver.net |
198.71.128.0/17 |
205.144.171.27 | США | Студио-Сити |
205-144-171-27.alchemy.net |
|
207.246.249.195 | США | Лансинг |
207.246.240.0/20 |
Как говорится оцените список. Чаще всего встречаются IP-адреса США, хотя есть и отечественные.
Как защититься?
Достаточно забить все адреса в файл .htaccess (с точкой впереди). Это специализированный файл для настройки сервера Appache. Должен получиться файл типа:
Order allow,deny
allow from all
deny from 5.9.41.3
deny from 37.150.171.59
deny from 45.56.77.190
deny from 50.62.176.242
deny from 54.79.3.127
...
После внесения данных строк в файл и размещения файла в корневом каталоге сайта на указанные IP адреса будет наложен вечный бан (пока вы лично не уберете их из списка).
Надо однако понимать, что те же хаккеры не спят и могут оперативно сменить свой IP-адрес. Хотя бы в пределах сети провайдера. В этом случае ваш сервер его не распознает и атака может повториться.
У сервера Appach и на этот случай есть ответ. Строка вида
deny from 5.9.41.
(в конце строки точка обязательна) закроет доступ со всех компьютеров с ip адресами от 5.9.41.00 до 5.9.41.255 (254 возможможных адреса) , а строка вида
deny from 5.
(не забудьте точку в конце строки) для всех от 5.0.0.0 до 5.255.255.255, а это уже (16646144 адреса).
Приведенные в таблице IP я выявил всего за 1 день. Так что, вполне вероятно, что список будет пополняться.