Случайный альбом
KUBANA-2011
Некультурный отдых - KUBANA-2011
Изображений: 67
Flash Point 2011
Некультурный отдых - Flash Point 2011
Изображений: 77
Меточки:
Нацарапано:  04.07.2010
Категория: Работа
Метки новости:
Как уже заметили мои постоянные читатели, уютненький Звиздец некоторое время пребывал в дауне. Связано это прежде всего с атаками некоего нихуя не доброго приведения, а точнее зловредного бота под названием Casper bot search и его друзей:
dex bot search
Mozilla/4.76 [ru] (X11; U; SunOS 5.7 sun4u)
MaMa CaSpEr
rk q kangen
sledink Bot Search
plaNETWORK Bot Search
kmccrew Bot Search
и прочей аналогичной шелупони.

Мерзкие насекомые атакуют все CMS без разбора (однако на данный момент известно что больше всего от них пострадали сайты на e107).

Выглядит процесс работы Casper bot search примерно так:

сайт сканируется на предмет наличия файлов
  • contact.php
  • help_us.php
  • kontakt.php
  • top.php
  • print.php
  • download.php
  • user.php
  • forum_viewforum.php
  • news.php

после чего бот пытается найти в данных файлах известные ему уязвимости и залить некие перловые файлики как правило с расширением txt со всеми вытекающими[toolfaq]ваш сайт сам становится частью ботнета Casper[/toolfaq]. Если же таковых файлов нет, но по какой-то причине сайт оказался в чОрных списках бота - он тупо лупится башкой в стену получая в ответ 404 и через некоторое время разуплотняется.



Чем чревато.
Чревато прежде всего блокировкой атакуемого сайта получаемой от любимого провайдера, поскоку прову пох, главное шоб пиджачОк сидел. Так же чревато повышением нагрузки на ресурсы хостинга и соответственно тупежом сервера на котором возлежит ваше детище.
Ну и в третих, лично я терпеть не могу когда на моих лялечках, выращенных, выпестованных, холимых и лелеемых ползает всякая мразь.

Как бороться:
Естественно старыми добрыми способами - дустом, керосином, побрить все волосы и втирать мазь
Вот несколько способов, как дать бой зловредным мандавшам:

Способ первый:
требуется доступ к .htaccess, mod_rewrite и 404 файл как можно более легкий возлежаше в корне сайта.
Цитата:

# ERROR PAGE
ErrorDocument 404 /404.html

# Turn rewrite engine on and set base
RewriteEngine On
RewriteBase /

# Load agents
RewriteCond % "^Mozilla/4.76 [ru]" [OR]
RewriteCond % "Bot Search" [NC,OR]
RewriteCond % ^kangen [OR]
RewriteCond % "^Mozilla/5.0$" [OR]
RewriteCond % ^CaSpEr [NC]

# Simply block the calls that match with user agent
RewriteRule .* - [F,L]

# If you want to route the call that match with user agent somewhere
# comment the above RewriteRule out and uncomment the line below
# Warning! - This will use server and router resources
#RewriteRule ^(.*)$ http://route2.invalid [R,L]

# Deny access to the following files
Order Allow,Deny
Deny from All
Order Allow,Deny
Deny from All
Order Allow,Deny
Deny from All
Order Allow,Deny
Deny from All


Способ второй (без mod_rewrite):
требуется доступ к .htaccess и 404 файл как можно более легкий возлежаше в корне сайта.
Цитата:
ErrorDocument 404 /404.html

# Turn rewrite engine on and set base
RewriteEngine On
RewriteBase /

# Load agents
SetEnvIfNoCase User-Agent "Bot Search$" HTTP_SAFE_BADBOT
SetEnvIfNoCase User-Agent "^Mozilla/4.76 [ru]" HTTP_SAFE_BADBOT
SetEnvIfNoCase User-Agent ^kangen HTTP_SAFE_BADBOT
SetEnvIfNoCase User-Agent "^Mozilla/5.0$" HTTP_SAFE_BADBOT
SetEnvIfNoCase User-Agent "^CaSpEr" HTTP_SAFE_BADBOT
SetEnvIfNoCase User-Agent ^$ HTTP_SAFE_BADBOT

# Simply block the calls that match with user agent
Order Allow,Deny
Allow from all
Deny from env=HTTP_SAFE_BADBOT
# Deny access to the following conditions

# 1 - If using POST method
RewriteCond % POST [NC]

# 2 - OR the requested URI contains any of the following files
RewriteCond % ^/?help_us\.php.* [NC,OR]
RewriteCond % ^/?contact\.php.* [NC,OR]
RewriteCond % ^/?kontakt\.php.* [NC,OR]
RewriteCond % ^/?top\.php.* [NC,OR]
RewriteCond % ^/?print\.php.* [NC,OR]
RewriteCond % ^/?download\.php.* [NC,OR]
RewriteCond % ^/?user\.php.* [NC,OR]

# 3 - OR the requesting string contains any of these words
RewriteCond % contact\.php [NC,OR]
RewriteCond % help_us\.php [NC,OR]
RewriteCond % kontakt\.php.* [NC,OR]
RewriteCond % top\.php.* [NC,OR]
RewriteCond % print\.php.* [NC,OR]
RewriteCond % download\.php.* [NC,OR]
RewriteCond % user\.php.* [NC]

# AND the call does not originating from your web site
RewriteCond % !^http://(sub1|sub2|www\.)?your_site\.com [NC] #delete sub1| etc if you do not have sub-domains

# Then block the call
RewriteRule .* - [F,L]


Рецепты дустов и дихлофосов супротив Casper bot search от камрадов с searchengines.ru

Цитата:
RewriteBase /
RewriteCond % ^Casper\ Bot\ Search [OR]
RewriteRule ^.* - [F,L]
ErrorDocument 404 "http://www.kremlin.ru"

RewriteBase /
RewriteCond % ^Mozilla/4\.76\ \[ru\]\ \(X11;\ U;\ SunOS\ 5\.7\ sun4u\) [OR]
RewriteRule ^.* - [F,L]
ErrorDocument 404 "http://www.kremlin.ru"

естественно вместо кремля лучше бы поставить адрес своей 404-ой.

Цитата:
SetEnvIfNoCase User-Agent "^Casper_Bot_Search" search_bot
SetEnvIfNoCase User-Agent "^Dex\Bot\Search" search_bot
Order Allow,Deny
Allow from all
Deny from env=search_bot

Отдаёт код 403 при всех поползновениях.

Вот такая вот занимательная гельминтология


под катом - мой личный, кропотливо собранный по логам серверов список айпишников с которых замечены вылазки Каспера и его друзей:

Casper bot search IP:
актуальна на 8 июля 2010
66.165.35.16
69.175.114.98
66.210.175.75
67.205.102.122
72. 55.156.70
74.63.197.215
75.125.43.162
86.39.158.235
86.58.13 3.100
87.238.162.10
87.229.111.44
87.229.24.82
87.106.247.24 6
88.198.19.38
93.187.141.50
94.124.120.40
95.211.13.146
95. 172.99.150
98.229.253.90
195.3.206.1
195.56.111.226
208.90.3 1.46
209.151.164.22
209.159.149.74
209.126.254.129
212.7.7.1 74
217.23.10.183
67.215.230.121
67.215.230.121
67.205.102.12 2
66.165.35.16
206.71.53.4
93.187.141.50
70.38.12.110
87.229 .22.22
38.102.48.124
89.189.179.214
74.124.198.60
84.243.214 .52
194.230.73.38
217.65.81.180
82.141.136.11
88.190.12.12
8 8.198.19.38
86.58.132.247
87.229.111.44
201.232.70.254
87.23 8.162.146
212.97.33.72
77.79.245.90
94.249.153.217
87.229.22 .22
109.72.85.44
207.191.228.114
207.188.198.131
62.44.82.11 8
80.93.62.100
92.50.238.233
81.169.174.76
89.191.159.27
217 .113.51.51
193.71.16.18
86.58.254.133
213.165.80.229
178.66. 81.132
94.199.243.38
141.20.5.185
69.90.47.236
62.204.145.20 6
91.215.170.13
66.98.216.61
81.26.219.151
70.38.12.110
195. 225.252.9
205.237.100.89
94.75.226.135
78.46.36.153
87.229.1 11.44
67.205.102.122
72.55.156.70
146.83.237.120
206.71.53.4
89.212.6.4
95.211.13.146
64.120.233.86
87.229.26.122
65.60. [!loop count exceeded: 53.2
85.255.199.38
93.159.16.132
75.125.43.162
74.199.29.172
213.179.32.13
72.1.240.89
208.75.148.62
83.223.95.29
87.97.65.12
195.184.14.233
109.86.145.204
85.255.199.38
209.151.164.22
82.192.81.160
122.201.80.105
194.44.152.115
209.160.72.238
70.38.12.110
77.79.245.90
194.105.250.242
81.26.219.151
180.151.249.167
74.206.118.177
84.53.217.109
95.168.174.31
87.238.162.10
89.189.179.214
193.142.209.166
78.46.36.153
213.189.27.130
70.38.12.110
195.225.252.9
174.121.24.59
72.55.156.70
200.63.97.95
217.70.190.155
91.103.220.165
93.187.141.50
94.103.157.130
184.107.41.155
69.174.241.40
86.39.158.235
87.238.162.10
210.240.6.19
72.55.156.70
78.46.36.153
69.10.136.189
92.241.175.4
212.241.179.30
195.3.206.1
62.182.62.138
180.151.249.167
114.108.177.15
78.46.36.153
93.187.141.50
92.60.176.46
91.203.196.130
87.229.45.143
62.44.96.16
81.58.25.14
87.238.162.10
41.78.28.104
!]53.2
85.255.199.38
93.159.16.132
75.125.43.162
74.199.29.172

Звиздец рекомендует поделиться ссылкой с камрадами и откомментить эту заметку:
для печатиПечатай!  
 
ZviZdeZ.ru
Придет серенький Фенрир и укусит нас за мир

2009-2011©