Сейчас на сайте
Пользователей : 2
Статей : 40
Просмотрено статей : 95096

Кто нам жить и работать мешает

Недавно заметил что на один из моих сайтов постоянно прилетают файлы с интересными именами тира "zHppl1872.php".  Причем прилетают они только в те каталоги  которые по тем или иным причинам пришлось разрешить запись.

Мало того хозяин хостинга заблокировал мне отправку писем со всех моих сайтов.

Немного покопавшись в логах доступа к файлам сайта я выделил IP адреса, которые в общем-то если не засоряли мой сайт, то активно использовали его, передавая на него информацию и возможно рассылая СПАМ от моего имени.

Ниже приведены IP адреса и расшифровка с указанием страны, города и если возможно конкретного ресурса с которых возможна такая атака.


IP


Страна


Город


Ресурс


Маска сети

5.9.41.3 Германия

static.3.41.9.5.clients.your-server.de

5.9.41.0/27

37.150.171.59 Казахстан 37.150.168.0/22
45.56.77.190 США Далас

li927-190.members.linode.com

45.56.64.0/18

50.62.176.242 США Шотдеил

p3plcpnl0726.prod.phx3.secureserver.net

50.62.0.0/15

54.79.3.127 Австралия Сидней

ec2-54-79-3-127.ap-southeast-2.compute.amazonaws.com

66.147.244.96 США Прово

box796.bluehost.com

67.225.137.210 США Лансин 67.225.128.0/17
69.89.31.200 США Прово

69.89.16.0/20

74.220.215.232 США Орем

host232.hostmonster.com

74.220.192.0/19

84.38.48.140 Италия Монтемарциано

oldconoscereilbiologico.regione.marche.it

84.38.48.0/20

93.125.99.18 Беларусь Минск

vh48.hosterby.com

93.125.99.0/24

97.74.24.52 США

Шотдеил

p3nlhg136.shr.prod.phx3.secureserver.net

97.74.0.0/16

141.170.2.53 Великобритания Лидс

his.is.a.tor.exit-node.net

141.170.0.0/18

160.153.146.68 США

Шотдеил

n3plcpnl0019.prod.ams3.secureserver.net

160.153.0.0/16

 173.201.196.143   США Шотдеил

p3nlhg393.shr.prod.phx3.secureserver.net

173.201.0.0/16

178.210.90.90 Россия Москва

tproxy1102.nic.ru

178.210.64.0/19

184.168.152.6 США Шотдеил

p3nlhg549.shr.prod.phx3.secureserver.net

184.168.0.0/16

184.168.200.212 США Шотдеил

p3plcpnl0048.prod.phx3.secureserver.net

184.168.0.0/16

188.120.243.235 Россия Базарн

bazarn.ru

188.120.240.0/21

188.165.50.88 Франция

mail.pentex.pl

188.165.48.0/21

194.150.185.147 Польша Варшава

147.185.rev.mni.pl

194.150.184.0/23

198.57.247.215 США Прово

gator3251.hostgator.com

198.57.128.0/17

198.71.228.18 США Шотдаил

a2plcpnl0193.prod.iad2.secureserver.net

198.71.128.0/17

205.144.171.27 США Студио-Сити

205-144-171-27.alchemy.net

207.246.249.195 США Лансинг

207.246.240.0/20

Как говорится оцените список. Чаще всего встречаются IP-адреса США, хотя есть и отечественные.

Как защититься?

Достаточно забить все адреса в файл .htaccess (с точкой впереди). Это специализированный файл для настройки сервера Appache. Должен получиться файл типа:

Order allow,deny
allow from all
deny from 5.9.41.3
deny from 37.150.171.59
deny from 45.56.77.190
deny from 50.62.176.242
deny from 54.79.3.127
...

После внесения данных строк в файл и размещения файла в корневом каталоге сайта на указанные IP адреса будет наложен вечный бан (пока вы лично не уберете их из списка).

Надо однако понимать, что те же хаккеры не спят и могут оперативно сменить свой IP-адрес. Хотя бы в пределах сети провайдера. В этом случае ваш сервер его не распознает и атака может повториться.

У сервера Appach и на этот случай есть ответ. Строка вида

deny from 5.9.41.

(в конце строки точка обязательна) закроет доступ со всех компьютеров с ip адресами от 5.9.41.00 до 5.9.41.255 (254 возможможных адреса) , а строка вида

deny from 5.

(не забудьте точку в конце строки) для всех от 5.0.0.0 до 5.255.255.255, а это уже (16646144 адреса).

Приведенные в таблице IP я выявил всего за 1 день. Так что, вполне вероятно, что список будет пополняться.