Заголовок такой, чтобы особо не палить тему всяким Лёхам из всяких фирм. Итак, как я полагаю, многим здесь, подвалило письмецо некоего замысловатого содержания: Уважаемые владельцы сайта "site.ru". Вы используете систему управления сайтом, программу, ЭВМ... Письмо пришло через форму обратной связи регистратора. Понятное дело, особо волноваться не стал, но интерес взял верх и полез смотреть... Сперва глянул заголовки почты — нихуя. Айпишник чисто реггера, т.к. с обратной связи с их сайта. Далее, загляну, думаю, логи то гляну. По времени примерно посмотрел, когда письмо пришло, и там с разницей -3 минуты следующие логи (время изменено на более наглядное, чтобы видеть картину проще): tail -f -n1000 /var/log/nginx/access.log | grep site.ru 141.101.81.44 - 0.013 [29/Aug/2016:00:00:17 +0300] "HEAD /index.php?do=feedback HTTP/1.1" 200 0 "-" "5.189.199.245" 141.101.81.44 - 0.007 [29/Aug/2016:00:00:18 +0300] "GET /index.php?do=feedback HTTP/1.1" 200 5091 "-" "5.189.199.245" 141.101.81.44 - 0.011 [29/Aug/2016:00:00:19 +0300] "GET /index.php?do=feedback HTTP/1.1" 200 5091 "-" "5.189.199.245" 141.101.81.44 - 0.032 [29/Aug/2016:00:00:20+0300] "GET /engine/modules/antibot.php HTTP/1.1" 200 2940 "http://site.ru/index.php?do=feedback" "5.189.199.245" 141.101.81.44 - 0.053 [29/Aug/2016:00:02:30 +0300] "POST /index.php?do=feedback HTTP/1.1" 200 4189 "http://site.ru/index.php?do=feedback" "5.189.199.245" Заметка: слева, самые первые - айпихи клауда; самые последние справа - айпи самого клиента (http_x_forwarded_for). Первые 3 запроса с интервалом в одну секунду. Надо бы проверить, думаю, сможем ли мы за такой же промежуток времени оставить такие же запросы. Захожу с браузера по http://site.ru/index.php?do=feedback 162.158.88.49 - 0.020 [29/Aug/2016:00:10:53 +0300] "GET /index.php?do=feedback HTTP/1.1" 200 5175 "-" "мой.а.й.пи" 162.158.88.49 - 0.021 [29/Aug/2016:00:10:54 +0300] "GET /engine/modules/antibot.php HTTP/1.1" 200 3062 "http://site.ru/index.php?do=feedback" "мой.а.й.пи" Нулевых "body_bytes_sent" в нашем запросе не было, следовательно, в первом запросе — стучалка, обыкновенный пинг. Смотрим айпи. IP 5.189.199.245 Хост: 245.199.189.5.rightside.ru Город: Красноярск Страна: Russian Federation IP диапазон: 5.189.199.0 - 5.189.199.255 Название провайдера: Right Side+ LCC Захожу на dle-news.ru, смотрю футер — 660093 г. Красноярск, ул. Капитанская, дом 12, офис 43 Совпадение? Не думаю. Смотрю их айпи сайта — под клаудом. Пробуем пробить мыло по MX-записи — mail.dle-news.ru (144.76.223.121): IP 144.76.223.121 Хост: mail.dle-news.ru Город: Не определен Страна: Germany IP диапазон: 144.76.0.0 - 144.76.255.255 Название провайдера: RIPE Network Coordination Centre Эх, умны, умны изворотливые дъяволы! Сам сайт под клауд накрыли, да ещё и мэйл-сервер отдельным в Германии держат! И ходют теперь оброки да барщины собирают с бедных крестьян.. === Что можно сделать? А можно попросту тупо забанить айпи (или даже весь диапазон, при желании) через IPTables. Усложняют жизнь нам? Так усложним жизнь и им. С нас из-за одного айпи (или даже диапазона провайдера в Красноярске) не убудет; а вот им придётся, полагаю, свой тамашний скрипт (или чё там у них) перенастраивать. Конечно, это не глобальная панацея, но так или иначе от их автостучалки должно помочь. Собственно, баним: iptables -A INPUT -s 5.189.199.245 -j REJECT Или весь диапазон: iptables -A INPUT -s 5.189.199.0/24 -j REJECT «REJECT(полностью отбрасывать пакеты не показывая признаков жизни даже по пингу). Можно использовать и DROP, но как заверяет тамошний эксперт — это может вызвать сбои и при большом количестве запросов, так как при DROP сервер все же получит ответ из-за лага.» Смотрим, всё ли в поряде? iptables -L INPUT -n --line-numbers И сохраняем правило: service iptables save Удалить айпи из списка можно отредактировав этот файл: nano /etc/sysconfig/iptables service iptables restart При желании вообще можно написать sh-скрипт, который будет остслеживать эту их стучалку по ссылке/пингу/кол-ву байтов и автоматически дропать айпиху в таблы. И, как я уже делал давненько заметку: нужно создать свою некую базу айпишников, которые будут автоматом заноситься в блеклисты. Думаю, процентов на 30-40 подобных абуз можно было бы избежать. Тут как борьба вирусов и антивирусов: они сканируют сайты с нуллами/фильмами/авторскими правами и добавляют в свои базы, мы сканируем их и добавляем в свои. Вполне реально и осуществимо. === Если сайт(ы) на клауде, то прямо там можно в бан также айпи и маски добавлять. Это даже ещё проще (см. вложения). Посмотреть заблокированные соединения в Клауде можно на вкладке Traffic. По-умолчанию при заблокированном адресе будет открываться ошибка Клауда «Error 1006» и написано "Access denied". Т.е. не долбоёб может и вдуплить что к чему, в отличии от "мёртвой" блокировки через IPTables.
тут даже про ДЛЕ спрашимвали! http://zerocoolpro.biz/forum/thread...ontrolej-ruprotektov-i-prochej-merzosti.4582/ смысл клонировать тонны тем с одним и тем же?
Вот искал тему, знал что есть — не нашел. Так-то можно этот пост удалить, а в тот пост в комментарии перенести, я только за. Просто там про .htaccess, а тут на уровне IPTables и Клауда. Ещё могу под Nginx дополнить, но это уже немного лишнее, на мой взгляд.
@Vanchila, айпишки так же и в самой ДЛЕ можно банить! можно все их айпи адреса в спам листы добавить если скооперироваться всем форумом
Вот тут то как раз, возможно, и трабла: дле может пропускать пинг, по крайней мере главной страницы. Это проверять нужно, тестить. По крайней мере, создатели ДЛЕ скорее всего обойдут созданную ими же блокировку в ДЛЕ, логично же? Тут же на уровне сервера, банит фаерволл. Не важно, ДЛЕ у тебя там или ЦП лежит — указанный IP получит Error Response, типа как домена, вроде как, нет. По Клауду же немного хуже, т.к. ясно будет видно, что IP заблочено из-под Клауда, а домен рабочий. Но автостукалка, опять же, не должна пройти через Клауд-блок. Тут вопрос в автоматизации, в принципе. Собрать базу и по скрипту вхуярить одной консольной строчкой — на мой взгляд самый надёжный, быстрый и оптимальный вариант.
@Vanchila, а если стучалка исходящая? какая разница? Он стуканет им твой домен, твой айпи... смысл в том, что ты будешь их блочить? Они на твой сайт даже не будут заходить!
Так IPTables и исходящие умеет банить, в том то и дело. Это-ж фаерволл. iptables -A OUTPUT -s IP.Сервера.На.Отстук -j DROP Просто тут проще по IP, на мой взгляд, фильтровать все эти стукалки, чем чего-то там в каждой новой версии искать и вырезать из кода. Сравни кол-во работы там и там. Очевидно же. P.S. Просто оставлю это здесь.
Вот не знаю. На мой взгляд если может даже и проще, то уж точно не надёжнее, потому как ты удалишь только автостукалки, но человек же сможет зайти и глянуть. А тут ты полностью блочишь любой айпи. Хоть стучалка это, хоть нет.
честно - больше маразмом попахивает! ещё пользователей с поисков через ТДС прогоняй на региональные офферы и будет счастье...
Ну почему маразмом то? Ты же толком не знаешь, как ихние стучалки там работают. То ли они отстукивают, то ли пристукивают. То ли так и так, а то ли может ещё и в ручную проверяют. А в одной теме там читал, мол, вообще прогоняют по базе доменов. В общем, я то за любой оптимальный вариант, лишь бы более надёжный был. Через .htaccess банить немного не ахти, на мой взгляд. Тем более если у тя не хостинг, а VDS. А каждое обновление переписывать — вот что действительно попахивает маразмом. А если они в новом обновлении вставят новую строчку в новом файле? Или если у них есть база доменов, купивших лицензию, получится, не важно, нулка у тебя или ключиком активированная. Я вариант предложил, смотрите сами.
все файлы если раскодены - найти стучалку не проблема, уже более 10-ти лет активация, ограничения триала и стучалки не менялись, и всё находится в одном законнеом файле, который легко раскодиируется и удаляются все ограничения и все стучалки!
Иными словами, ты на 100% уверен, что блокировка через DLE блокирует стучалку DLE, я правильно тебя понимаю?
Ну я имею ввиду: если, как ты говорил в предыдущем сообщении, всё правильно вырезать в раскодированных вайлах — то это избавит от внутренней стучалки, так? Но не исключен вариант ведь внешней стучалки, которая, как ты говорил также выше, может быть заблочена через бан в самой DLE, так? По поводу первого - я не сомневаюсь. А что по поводу второго? Неужели разработчики настолько глупы, что сделали скан-бота-стукателя, но не сделали обход своей же блокировки? Вот я про что спрашиваю. И, видишь, тут уже получается, что нужно не только вырезать внутренний отстук, но и блокнуть внешний. И то не факт, что второй вариант 100%-ый, понимаешь? На мой взгляд нужно лишь одно действите, без лишних телодвижений. Нулка у тебя там, не нулка. Правильная, не правильная. Обновился ли файл, не обновился, похуям. База айпи на вход-выход через ядро сразу для всех сайтов — оптимальное решение. А если у тебя 50 сайтов? Не замаразматишься в каждый айпишки то добавлять, тдс?))) При всём при том, что в DLE бан только по одному айпи можно добавлять. Даже списком нельзя... В общем ладно, я понял твоё видение на это, но конкретно такой вариант не по мне. Всё, пошел кино смотреть, а то ты флудер лютый какой-то: хуй докажешь, хуй перескажешь тебя))
так! в смысле? внешняя стучалка ничем не мешает найти сайт через поисковики!!! тут даже стучалки не нужны... *** дальше много букф написано, прочитал только половину но думаю основную суть понял
