Как заблокировать умного бота?

0

1

Привет, ЛОР!

Приключилась такая беда, на сайте поселился умный бот. Стучится головой об капчу пытаясь авторизоваться, меняет ip и UA как перчатки, но пытается авторизоваться всегда с одной и той же страницы /faq/. Еще отличительная особенность - на сайт лезет всегда с указанием порта.

http://fpaste.org/B5uL/ логи деятельности. По ссылкам неудавшихся авторизаций на моменте ввода капчи прекрасно видно пациента - один и тот же сценарий действий. Наблюдается эта котовасия уже дня три. Как можно отловить и заблокировать существо? Варианты с fail2ban и .htaccess не подойдут по двум причинам:

1. ip постоянно меняется. Иногда прямо во время деятельности, иногда бот берет перерыв, после чего возвращается.

2. записи в /var/log/httpd/error_log не сыпятся, ибо робот не лезет куда не надо (запреты в robots.txt), все официально идет в access_log.

Но ведь за что-то же можно зацепиться?

Ссылка

←	5storage-mdadm + torrent-hdd vs 6storage-mdadm

SSH: Broken pipe при DNAT

→

Забанить POST HTTP/1.0 запросы в /faq/
На nginx'е элементарно банится, про апач не скажу, но держать его без фронт-энда уже года три не комильфо. И кстати, по этим же запросам можно сначала отловить все ей айпишки и заодно побанить пачку анонимайзеров.

pekmop1024 ★★★★★
(23.11.12 23:58:57 MSK)
Последнее исправление: pekmop1024 23.11.12 23:59:43 MSK (всего исправлений: 1)

Ответ на: комментарий от pekmop1024 23.11.12 23:58:57 MSK

nginx присутствует

kir64 ★★
(24.11.12 00:02:35 MSK) автор топика

Ссылка

Ответ на: комментарий от pekmop1024 23.11.12 23:58:57 MSK

Получается, если пойти таким путем - есть возможность порезать юзеров, решивших авторизоваться на этой странице?

kir64 ★★
(24.11.12 00:05:58 MSK) автор топика

Ответ на: комментарий от kir64 24.11.12 00:05:58 MSK

Много ли известно юзеров, авторизующихся постом по хттп 1.0?

pekmop1024 ★★★★★
(24.11.12 00:18:40 MSK)

Ответ на: комментарий от pekmop1024 24.11.12 00:18:40 MSK

Спасибо за подсказку, буду разбираться!

kir64 ★★
(24.11.12 00:43:42 MSK) автор топика

Ссылка

Я бы банить не стал. Я бы составлял список ip.

soomrack ★★★★
(24.11.12 01:43:56 MSK)

Ответ на: комментарий от soomrack 24.11.12 01:43:56 MSK

Зачем? Там же сплошь прокси-сервера.

kir64 ★★
(24.11.12 13:51:11 MSK) автор топика

Ответ на: комментарий от kir64 24.11.12 13:51:11 MSK

Собирать список валидных проксей.

dn2010 ★★★★★
(24.11.12 13:57:54 MSK)

Ссылка

Ответ на: комментарий от pekmop1024 23.11.12 23:58:57 MSK

Забанить POST HTTP/1.0 запросы в /faq/

Примерно таким образом?

if ($request_method = POST ) {
  return 405;

kir64 ★★
(27.11.12 10:19:24 MSK) автор топика

Ответ на: комментарий от kir64 27.11.12 10:19:24 MSK

Тебе надо соблюдение двух условий, иначе ты побанишь всех юзеров вообще.

        if ($server_protocol ~* "HTTP/1.0") {
        set $oldbot H;
        }
        if ($request_method = POST) {
        set $oldbot "${oldbot}P";
        }
        if ($oldbot = HP) {
        return 444;}

pekmop1024 ★★★★★
(27.11.12 12:57:51 MSK)

Ответ на: комментарий от pekmop1024 27.11.12 12:57:51 MSK

Точно, спасибо! А то натворил бы делов :)

kir64 ★★
(27.11.12 13:28:33 MSK) автор топика

Ответ на: комментарий от pekmop1024 27.11.12 12:57:51 MSK

Т.е. в моем случае полностью рабочим вариантом должна быть такая запись в конфиг:

location ~ ^(/faq) {
 if ($server_protocol ~* "HTTP/1.0") {
        set $oldbot H;
        }
        if ($request_method = POST) {
        set $oldbot "${oldbot}P";
        }
        if ($oldbot = HP) {
        return 444;}
}

Или можно такое для всего корня указать, на случай, если он начнет ломиться по тому же принципу но с других страниц?

kir64 ★★
(27.11.12 13:35:03 MSK) автор топика

Ответ на: комментарий от kir64 27.11.12 13:28:33 MSK

И сделать это в отдельный локейшн /faq/, да еще и с логированием айпишек - ну, чтобы побанить анонимайзеры, если тот же бот будет ломиться куда не попадя.

pekmop1024 ★★★★★
(27.11.12 13:37:04 MSK)

Ссылка

Ответ на: комментарий от kir64 27.11.12 13:35:03 MSK

Думаю, не начнет - он же бот, а 444 - это нулевой ответ.

pekmop1024 ★★★★★
(27.11.12 13:37:52 MSK)

А чего бот хочет то?

GNU-Ubuntu1204LTS ★★★
(27.11.12 13:40:25 MSK)

Ответ на: комментарий от GNU-Ubuntu1204LTS 27.11.12 13:40:25 MSK

Любви и ласки, очевидно :) Авторизоваться пытается на сайте. Но не может побороть капчу.

kir64 ★★
(27.11.12 13:42:30 MSK) автор топика

Ответ на: комментарий от pekmop1024 27.11.12 13:37:52 MSK

Значит,

location ~ ^(/faq) {
}

вполне должно хватить?

kir64 ★★
(27.11.12 13:43:12 MSK) автор топика

Ссылка

Ответ на: комментарий от kir64 27.11.12 13:42:30 MSK

А не думал дать ему свободу и узнать что он хочет? Может ему просто грустно и он хочет поговорить :(

GNU-Ubuntu1204LTS ★★★
(27.11.12 13:55:48 MSK)

Ответ на: комментарий от GNU-Ubuntu1204LTS 27.11.12 13:55:48 MSK

Пускай на чаны идет. Там и капча проще, и народу больше.

kir64 ★★
(27.11.12 13:57:51 MSK) автор топика

Ответ на: комментарий от kir64 27.11.12 13:57:51 MSK

Проще? однако сложная у тебя капча. И что,даж не интересно что он хочет,совсем?

GNU-Ubuntu1204LTS ★★★
(27.11.12 14:41:26 MSK)

Ответ на: комментарий от GNU-Ubuntu1204LTS 27.11.12 14:41:26 MSK

Да все они только одного и хотят. А как жениться - так сразу в кусты.

kir64 ★★
(27.11.12 14:59:10 MSK) автор топика

Ссылка

Ответ на: комментарий от pekmop1024 27.11.12 13:37:52 MSK

К сожалению, пляски продолжаются:

142.0.35.138 - - [03/Dec/2012:05:28:39 +0400] "GET /faq/?login=yes&auth_service_error=1 HTTP/1.0" 200 52141 "http://mysite.ru/faq/?login=yes&auth_service_error=1" "Opera/9.80 (Windows NT 5.1; U; MRA 6.0 (build 5680); ru) Presto/2.10.289 Version/12.00"

142.0.35.138 - - [03/Dec/2012:05:28:58 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=0a160c815d42d597af1089b1d1a73803%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes&auth_service_error=1" "Opera/9.80 (Windows NT 5.1; U; MRA 6.0 (build 5680); ru) Presto/2.10.289 Version/12.00"

142.0.35.138 - - [03/Dec/2012:05:29:02 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=04b714fccf6d9c7af5b7eb4d280cd20b%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5"

142.0.35.138 - - [03/Dec/2012:05:29:26 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=0a160c815d42d597af1089b1d1a73803%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes&auth_service_error=1" "Opera/9.80 (Windows NT 5.1; U; MRA 6.0 (build 5680); ru) Presto/2.10.289 Version/12.00"

142.0.35.138 - - [03/Dec/2012:05:29:28 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=0a160c815d42d597af1089b1d1a73803%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes&auth_service_error=1" "Opera/9.80 (Windows NT 5.1; U; MRA 6.0 (build 5680); ru) Presto/2.10.289 Version/12.00"

142.0.35.138 - - [03/Dec/2012:05:29:28 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=04b714fccf6d9c7af5b7eb4d280cd20b%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5"

142.0.35.138 - - [03/Dec/2012:05:29:29 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=0a160c815d42d597af1089b1d1a73803%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes&auth_service_error=1" "Opera/9.80 (Windows NT 5.1; U; MRA 6.0 (build 5680); ru) Presto/2.10.289 Version/12.00"

142.0.35.138 - - [03/Dec/2012:05:29:31 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=04b714fccf6d9c7af5b7eb4d280cd20b%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5"

142.0.35.138 - - [03/Dec/2012:05:29:33 +0400] "GET /faq//%5C%22/bitrix/tools/captcha.php?captcha_sid=04b714fccf6d9c7af5b7eb4d280cd20b%5C HTTP/1.0" 404 53863 "http://mysite.ru/faq/?login=yes" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5"

Конфиг nginx с блокировокй сейчас выглядит таким образом:

        location ~ ^(/faq) {
                if ($server_protocol ~* "HTTP/1.0") {
                        set $oldbot H;
                }
                if ($request_method = POST) {
                        set $oldbot "${oldbot}P";
                }
                if ($oldbot = HP) {
                        return 444;}
        }

        location ~ ^(/faq) {
                if ($server_protocol ~* "HTTP/1.0") {
                        set $oldbot H;
                }
                if ($request_method = GET) {
                        set $oldbot "${oldbot}P";
                }
                if ($oldbot = HP) {
                        return 444;}
        }


        location ~ ^(/) {
                if ($server_protocol ~* "HTTP/1.0") {
                        set $oldbot H;
                }
                if ($request_method = GET) {
                        set $oldbot "${oldbot}P";
                }
                if ($oldbot = HP) {
                        return 444;}
        }


        location ~ ^(/) {
                if ($server_protocol ~* "HTTP/1.0") {
                        set $oldbot H;
                }
                if ($request_method = POST) {
                        set $oldbot "${oldbot}P";
                }
                if ($oldbot = HP) {
                        return 444;}
        }

Почему его не останавливают такие правила? Вроде он же попадает под обе проверки.

kir64 ★★
(03.12.12 10:20:36 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	5storage-mdadm + torrent-hdd vs 6storage-mdadm

Admin

SSH: Broken pipe при DNAT

→

Похожие темы