• XSS.stack #1 – первый литературный журнал от юзеров форума

Списки IP аверов гугла и т.д.

Отслеживать
Ar3s

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
3 357
Реакции
1 404
Вообщем добил я эту тему, но все забывал поделиться.
1. создаем файл block.sh
Код: 
#!/bin/bash
for ip in `cat ip-list.txt`; do iptables -I INPUT -s $ip -j DROP; done
2. делаем chmod +x block.sh
3. создаем ip-list.txt В него ложим содержимое моего txt файла.
4. запускаем все на выполнение коммандой ./block.sh

:zns5: Скачать|Download
пасс damaga_forewa12012011



способ #2
1. создаем файл .htaccess в нужном_месте/папке_www
2. Преобразуем мой список ip к следующему виду:
Код: 
#COUNTRY_BLOCK_START
<Limit GET HEAD POST>
order allow,deny

deny from 102.157.192.85
deny from 109.65.41.165
...
...
deny from abuse.ch
deny from zeustracker.abuse.ch

allow from all
</Limit>

p.s. Для тех кто не вкурсе - это не сложное действие частично спасает ваши связки, ифрэймы и т.п. от пристального внимания со стороны гугла, некоторых поисковиков, нескольких автоматических антивирусных сервисов и т.д.
 
Слушай ка чего.. Ты бы отписал еще методы по блокировке "левых" айпишк.
Может сваяем с тобой автоматический сборщик посетителей для поддержания уникальности? Это ведь гораздо круче чем писать в базу айпишки посетителей :)
 
Можно. Но как определить правильный вход и вход АВ сервиса?
Я вижу только один выход. Льешь траф на связку (допустим) и новые ip заносишь в блэк-лист каждые 10 секунд. Но ты только представь с какой скоростью эта база будет разрастаться!!! И при этом она не спасет нас от первого захода АВ сервиса.
 
1. То решение, которое я предложил насчет уникализации трафика по сути никак не связано с аверскими конторами. Это просто способ не задрачивать вебсервер неуникальным трафиком, соответственно повысить пробиваемость на нагруженных связках.
2. Автоматически парсить блеклист айпишек с онлайн сервиса твоего и толкание его в конфиг - дело плевое, и частично спасет от блека, если только не нарвешься на авера с новым айпи.
 
против авера который под свеженьким соксом ковыряет - ничего не спасет , но вцелом некоторые аверские конторы могут быть с довольно таки консервативными порядками , где работнику будет тяжело доказать , что ему нужен новый незасвеченный ip - поэтому частично поможет
 
karabas-barabas тут наш друг высказался о том, что можно предложенным мной методом резко снижать процессорные нагрузки на сервер. Используя фаерволл мы собираем ip посетителей и каждые 5-10 минут добавляем их в правила фаервола. Таким образом неуники не нагрузят более наш сервер. И при этом неважно связка у вас там или просто tds.

Хотя чисто теоретически - можно и АВ сервисы отвадить. Скажем, если банить каждые 20 секунд после первого соединения - то авер просто не успеет вручную снять всю выдачу. Подчеркива ВРУЧНУЮ. Автоматическая скачка выдачи может успеть в легкую. Но она должна быть очень грамотной и уметь пользоваться проксями для снятия выдачи под все версии браузеров и плагинов, что очень даже реализуемо, если руки не из жопы.
 
Тут кроме всего прочего имеют место быть такие интересности, как несколько запросов от одного клиента, для того чтобы выгрузить всю необходимую выдачу.
Соответственно мгновенно банить нельзя. Нужны более гибкие условия.
Для тдс конечно это не актуально :)
 
Со связкой все сложнее. Тут не получится так оперативно всех банить, ибо выдачу надо успеть отдать. А после отдачи выдачи связка и сама неплохо банит.
Можно просто из нее выгружать список на фаервол.
 
Есть еще вариант - посадить несколько связок по разным хостам и собирать траф с тематически отличающихся площадок, потом путем сравнения трафа с этих импровизированных ханипотов, можно выявить аналогичные заходы.
Потому как с паблика взятые ip ав-пауков, это все-равно информация не первой инстанции.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх