С ростом сети увеличивается количество энтузиастов, которые развивают свои собственные сервисы, но так же растёт количество "вероятных противников". Так называемых "кулхацкеров". Хакерами таких не назвать, потому, что возможности их интеллекта ограничиваются использованием приграммы написанной каким-то достойным программистом.
Но тем не менее неприятностей они доставить могут. И порой не мало. Поэтому предлагаю владельцам частных ресурсов на основании логов сервера или файрвола сообщать тут об атаках с тем, чтобы другие ваши коллеги могли сразу занести на своих серверах отморозков в чёрный список ещё до факта атаки!
Ну а я начну:
Запарили кулхацкеры точить тут свои когти, или как это называется. В общем на сегодня нашлось ещё двое отмороженных:
IP адреса 10.100.40.156 (первый) и 10.100.4.75 (второй)
Давно были забанены у меня в конфиге вебсервера, теперь, видимо со злости, решили подсирать. С начала ноября на текущий момент паразитного траффика в миллион и 100 тысяч запросов, что составляет 300мег и 30 мег уже за две недели. Это половина всего траффика этого домена.
http://10.100.10.88/stat/usage_200811.html#TOPSITES
в октябре второй на 13 миллионов паразитных запросов, первый 278 тысяч. Что составляет 3,7 гиг и 80 мег соответственно. Это 70% всего траффика домена.
http://10.100.10.88/stat/usage_200810.html#TOPSITES
Было замечено несколько "атак" в определённые промежутки времени. В такие моменты видны шквалы запросов по сотне в секунду. Если запросы второго больше похожи на зажатую кнопку F5, то первый пошёл дальше. Его запросы более похожи на сформированные какой-то приблудой.
Не вижу смысла в партянках логов из одинаковых запросов, но если статистики webalizer'а не бостаточно, то могу предоставить оригинальные логи, если надо. У меня "все ходы записаны". Примеры:
Код:
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://www.datasvit.ks.ua/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://www.datasvit.ks.ua/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
10.100.4.75 - - [03/Nov/2008:15:48:38 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
Код:
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
10.100.40.156 - - [01/Nov/2008:20:53:10 +0200] "GET /kar_goodbye.gif HTTP/1.1" 302 296 "http://trash.datasvit.ks.ua/details.php?id=9215" "'><h1>uafix</h1> (compatible; '><script>alert(/mixed by zizzu/); '><script>alert(/mixed by zizzu/); SV1; WebMoney Advisor; RadioClicker LITE)"
Мне такие мансы удовольствия не доставляют, так как ресурсы сервера и так не пределе. В принципе эти товарищи забанены теперь на серверном файрволе и больше меня не потревожат, но это может обернуться против других пользователей или сервисов сети.
Так что прочим сайтостроителям предлагаю забанить эти адреса и у себя.
Буду благодарен, если администрация вынесет товарищам официальное предупреждение или любую другую меру.
Сразу скажу, что я как таковых претензий не имею, чтобы не повторять прошлую историю. Оставляю это на ваше усмотрение.
PS предлагаю прикрепить тему. Заголовок и вступительное слово я поправил "в соответствии с ..."