Casper bot search или нашествие гельминтов

Как уже заметили мои постоянные читатели, уютненький Звиздец некоторое время пребывал в дауне. Связано это прежде всего с атаками некоего нихуя не доброго приведения, а точнее зловредного бота под названием Casper bot search и его друзей:
dex bot search
Mozilla/4.76 [ru] (X11; U; SunOS 5.7 sun4u)
MaMa CaSpEr
rk q kangen
sledink Bot Search
plaNETWORK Bot Search
kmccrew Bot Search и прочей аналогичной шелупони.

Мерзкие насекомые атакуют все CMS без разбора (однако на данный момент известно что больше всего от них пострадали сайты на e107).

Выглядит процесс работы Casper bot search примерно так:
сайт сканируется на предмет наличия файлов

• contact.php
  
• help_us.php
  
• kontakt.php
  
• top.php
  
• print.php
  
• download.php
  
• user.php
  
• forum_viewforum.php
  
• news.php

после чего бот пытается найти в данных файлах известные ему уязвимости и залить некие перловые файлики как правило с расширением txt со всеми вытекающими[toolfaq]ваш сайт сам становится частью ботнета Casper[/toolfaq]. Если же таковых файлов нет, но по какой-то причине сайт оказался в чОрных списках бота - он тупо лупится башкой в стену получая в ответ 404 и через некоторое время разуплотняется.



Чем чревато.
Чревато прежде всего блокировкой атакуемого сайта получаемой от любимого провайдера, поскоку прову пох, главное шоб пиджачОк сидел. Так же чревато повышением нагрузки на ресурсы хостинга и соответственно тупежом сервера на котором возлежит ваше детище.
Ну и в третих, лично я терпеть не могу когда на моих лялечках, выращенных, выпестованных, холимых и лелеемых ползает всякая мразь.

Как бороться:
Естественно старыми добрыми способами - дустом, керосином, побрить все волосы и втирать мазь
Вот несколько способов, как дать бой зловредным мандавшам:

Способ первый:
требуется доступ к .htaccess, mod_rewrite и 404 файл как можно более легкий возлежаше в корне сайта.

Цитата: # ERROR PAGE ErrorDocument 404 /404.html # Turn rewrite engine on and set base RewriteEngine On RewriteBase / # Load agents RewriteCond % "^Mozilla/4.76 [ru]" [OR] RewriteCond % "Bot Search" [NC,OR] RewriteCond % ^kangen [OR] RewriteCond % "^Mozilla/5.0$" [OR] RewriteCond % ^CaSpEr [NC] # Simply block the calls that match with user agent RewriteRule .* - [F,L] # If you want to route the call that match with user agent somewhere # comment the above RewriteRule out and uncomment the line below # Warning! - This will use server and router resources #RewriteRule ^(.*)$ http://route2.invalid [R,L] # Deny access to the following files Order Allow,Deny Deny from All Order Allow,Deny Deny from All Order Allow,Deny Deny from All Order Allow,Deny Deny from All

Способ второй (без mod_rewrite):
требуется доступ к .htaccess и 404 файл как можно более легкий возлежаше в корне сайта.

Цитата: ErrorDocument 404 /404.html # Turn rewrite engine on and set base RewriteEngine On RewriteBase / # Load agents SetEnvIfNoCase User-Agent "Bot Search$" HTTP_SAFE_BADBOT SetEnvIfNoCase User-Agent "^Mozilla/4.76 [ru]" HTTP_SAFE_BADBOT SetEnvIfNoCase User-Agent ^kangen HTTP_SAFE_BADBOT SetEnvIfNoCase User-Agent "^Mozilla/5.0$" HTTP_SAFE_BADBOT SetEnvIfNoCase User-Agent "^CaSpEr" HTTP_SAFE_BADBOT SetEnvIfNoCase User-Agent ^$ HTTP_SAFE_BADBOT # Simply block the calls that match with user agent Order Allow,Deny Allow from all Deny from env=HTTP_SAFE_BADBOT # Deny access to the following conditions # 1 - If using POST method RewriteCond % POST [NC] # 2 - OR the requested URI contains any of the following files RewriteCond % ^/?help_us\.php.* [NC,OR] RewriteCond % ^/?contact\.php.* [NC,OR] RewriteCond % ^/?kontakt\.php.* [NC,OR] RewriteCond % ^/?top\.php.* [NC,OR] RewriteCond % ^/?print\.php.* [NC,OR] RewriteCond % ^/?download\.php.* [NC,OR] RewriteCond % ^/?user\.php.* [NC,OR] # 3 - OR the requesting string contains any of these words RewriteCond % contact\.php [NC,OR] RewriteCond % help_us\.php [NC,OR] RewriteCond % kontakt\.php.* [NC,OR] RewriteCond % top\.php.* [NC,OR] RewriteCond % print\.php.* [NC,OR] RewriteCond % download\.php.* [NC,OR] RewriteCond % user\.php.* [NC] # AND the call does not originating from your web site RewriteCond % !^http://(sub1|sub2|www\.)?your_site\.com [NC] #delete sub1| etc if you do not have sub-domains # Then block the call RewriteRule .* - [F,L]

Рецепты дустов и дихлофосов супротив Casper bot search от камрадов с searchengines.ru

Цитата: RewriteBase / RewriteCond % ^Casper\ Bot\ Search [OR] RewriteRule ^.* - [F,L] ErrorDocument 404 "http://www.kremlin.ru" RewriteBase / RewriteCond % ^Mozilla/4\.76\ \[ru\]\ \(X11;\ U;\ SunOS\ 5\.7\ sun4u\) [OR] RewriteRule ^.* - [F,L] ErrorDocument 404 "http://www.kremlin.ru"

естественно вместо кремля лучше бы поставить адрес своей 404-ой.

Цитата: SetEnvIfNoCase User-Agent "^Casper_Bot_Search" search_bot SetEnvIfNoCase User-Agent "^Dex\Bot\Search" search_bot Order Allow,Deny Allow from all Deny from env=search_bot

Отдаёт код 403 при всех поползновениях.



под катом - мой личный, кропотливо собранный по логам серверов список айпишников с которых замечены вылазки Каспера и его друзей:

Casper bot search IP:
актуальна на 8 июля 2010
66.165.35.16
69.175.114.98
66.210.175.75
67.205.102.122
72. 55.156.70
74.63.197.215
75.125.43.162
86.39.158.235
86.58.13 3.100
87.238.162.10
87.229.111.44
87.229.24.82
87.106.247.24 6
88.198.19.38
93.187.141.50
94.124.120.40
95.211.13.146
95. 172.99.150
98.229.253.90
195.3.206.1
195.56.111.226
208.90.3 1.46
209.151.164.22
209.159.149.74
209.126.254.129
212.7.7.1 74
217.23.10.183
67.215.230.121
67.215.230.121
67.205.102.12 2
66.165.35.16
206.71.53.4
93.187.141.50
70.38.12.110
87.229 .22.22
38.102.48.124
89.189.179.214
74.124.198.60
84.243.214 .52
194.230.73.38
217.65.81.180
82.141.136.11
88.190.12.12
8 8.198.19.38
86.58.132.247
87.229.111.44
201.232.70.254
87.23 8.162.146
212.97.33.72
77.79.245.90
94.249.153.217
87.229.22 .22
109.72.85.44
207.191.228.114
207.188.198.131
62.44.82.11 8
80.93.62.100
92.50.238.233
81.169.174.76
89.191.159.27
217 .113.51.51
193.71.16.18
86.58.254.133
213.165.80.229
178.66. 81.132
94.199.243.38
141.20.5.185
69.90.47.236
62.204.145.20 6
91.215.170.13
66.98.216.61
81.26.219.151
70.38.12.110
195. 225.252.9
205.237.100.89
94.75.226.135
78.46.36.153
87.229.1 11.44
67.205.102.122
72.55.156.70
146.83.237.120
206.71.53.4
89.212.6.4
95.211.13.146
64.120.233.86
87.229.26.122
65.60. [!loop count exceeded: 53.2
85.255.199.38
93.159.16.132
75.125.43.162
74.199.29.172
213.179.32.13
72.1.240.89
208.75.148.62
83.223.95.29
87.97.65.12
195.184.14.233
109.86.145.204
85.255.199.38
209.151.164.22
82.192.81.160
122.201.80.105
194.44.152.115
209.160.72.238
70.38.12.110
77.79.245.90
194.105.250.242
81.26.219.151
180.151.249.167
74.206.118.177
84.53.217.109
95.168.174.31
87.238.162.10
89.189.179.214
193.142.209.166
78.46.36.153
213.189.27.130
70.38.12.110
195.225.252.9
174.121.24.59
72.55.156.70
200.63.97.95
217.70.190.155
91.103.220.165
93.187.141.50
94.103.157.130
184.107.41.155
69.174.241.40
86.39.158.235
87.238.162.10
210.240.6.19
72.55.156.70
78.46.36.153
69.10.136.189
92.241.175.4
212.241.179.30
195.3.206.1
62.182.62.138
180.151.249.167
114.108.177.15
78.46.36.153
93.187.141.50
92.60.176.46
91.203.196.130
87.229.45.143
62.44.96.16
81.58.25.14
87.238.162.10
41.78.28.104
!]53.2
85.255.199.38
93.159.16.132
75.125.43.162
74.199.29.172