Как запретить доступ к Web серверу с определенных Ip ?

Grischenkow · 30 Мар 2005

Собствеено SUBJ Apache2 под Linux'ом.
Может прописывать здесь :
<Directory /xxx>
deny from 216.204.156.202
deny from 213.126.67.113
deny from 61.88.122.10
deny from 211.152.185.74
deny from 69.51.12.2
</Directory>

P.S. Может кто-то узнает свои IP, я не виноват...

Akkermanez · 31 Мар 2005

Може я не втему но ты хоть ети АйПи Адресса проверял ?
Ето АйПи Адресса Веб Серверов, но самый лутьший способ себя обезопасить раз и навсегда
ето так

/etc/init.d/apache2 stop
rm /etc/init.d/apache2

и усё ,никто больше не прийдёт

free-x · 31 Мар 2005

А чем, они тебе насолили?
a202.ourconcord.net.
213.126.67.113.ip.onderwijs.casematelecom.nl.
thewho.highspeedweb.net.

Grischenkow · 31 Мар 2005

Попытка несанкционированного доступа:

69.51.12.2 - - [21/Mar/2005:13:44:36 +0100] "GET /forum/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:37 +0100] "GET /phpBB/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:37 +0100] "GET / HTTP/1.1" 200 1457 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:37 +0100] "GET /forums/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:38 +0100] "GET /phpbb/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:38 +0100] "GET /board/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:39 +0100] "GET /boards/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:39 +0100] "GET /phpBB2/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:39 +0100] "GET /msgboard/ HTTP/1.1" 404 310 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:40 +0100] "GET /foros/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
69.51.12.2 - - [21/Mar/2005:13:44:40 +0100] "GET /portal/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"

213.126.67.113 - - [28/Mar/2005:08:03:48 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 349 "-" "-"

216.204.156.202 - - [29/Mar/2005:09:38:51 +0200] "get /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir" 400 336 "-" "-

61.88.122.10 - - [29/Mar/2005:18:01:37 +0200] "GET /NULL.printer" 404 320 "-" "-"

211.152.185.74 - - [30/Mar/2005:02:04:01 +0200] "GET /forum/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:02 +0200] "GET /phpBB/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:04 +0200] "GET / HTTP/1.1" 200 1457 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:05 +0200] "GET /forums/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:14 +0200] "GET /phpbb/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:18 +0200] "GET /board/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:20 +0200] "GET /boards/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:23 +0200] "GET /phpBB2/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:25 +0200] "GET /msgboard/ HTTP/1.1" 404 310 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:26 +0200] "GET /foros/ HTTP/1.1" 404 307 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:31 +0200] "GET /portal/ HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:32 +0200] "GET /discussion/ HTTP/1.1" 404 312 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:34 +0200] "GET /nar/ HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"
211.152.185.74 - - [30/Mar/2005:02:04:47 +0200] "GET /html/forum/ HTTP/1.1" 404 312 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; .NET CLR 1.0.3705)"

Имена DOMAIN найти легко через nslookup.
Но весь DOMAIN отключать как-то неправильно...

IP:216.204.156.202
202.156.204.216.in-addr.arpa name = a202.ourconcord.net.
IP:213.126.67.113
113.67.126.213.in-addr.arpa name = 213.126.67.113.ip.onderwijs.casematelecom.nl.
IP:61.88.122.10
** server can't find 10.122.88.61.in-addr.arpa: NXDOMAIN
IP:211.152.185.74
** server can't find 74.185.152.211.in-addr.arpa: SERVFAIL
IP:69.51.12.2
2.12.51.69.in-addr.arpa name = thewho.highspeedweb.net.

free-x · 31 Мар 2005

Ну и нехай себе ищут ветра в поле.....Получили 404 и досвидания

Grischenkow · 31 Мар 2005

Нехай,
но наказание ДОЛЖНО быть неотвратимым !!!

free-x · 31 Мар 2005

Соединение всё равно создаётся перед тем как апач скажет что тебе нельзя.....

Akkermanez · 31 Мар 2005

Шото попытки в упор не вижу !
Если запрос на не существующую страницу считать "Попыткой несанкционированого доступа" то ето уже Болезнь и называется она Параноя!

Исходя из етого если Пользователь
вызвал в своём Браузере например адресс Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. и пробежался по папке /SERGEJ/ ,то шо надо выкатить крупноколиберный пулемёт и растрелять его АйПи?

ето ну никуда не годится !

**Al_DeRus** · 31 Мар 2005

Grischenkow

проще всего и надёжнее настроить IPTABLES ....

Grischenkow · 31 Мар 2005

Ok, посмотрю что за зверь IPTABLES.

Akkermanez
13.126.67.113 - - [28/Mar/2005:08:03:48 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 349 "-" "-"
216.204.156.202 - - [29/Mar/2005:09:38:51 +0200] "get /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir" 400 336 "-" "-
А это шо за потуги на предмет опреления window'ского IIS ?
А остальные потуги определения глюкавых форумов ?
Это именно попытка ... а не просто ошибка набора адреса.

free-x · 1 Апр 2005

Видел бы ты мои логи в поисках ArVDR или обезяны
Кстати запросы в твоих логах скорее всего сгенерированы трояном/вирусом =)

Grischenkow · 1 Апр 2005

Не, у меня не должно быть ни троянов ни вирусов (надеюсь ), это же извне запросы.

free-x · 1 Апр 2005

Запросы идут с зараженных компов...к тебе претензий нет

Akkermanez · 1 Апр 2005

Цитата

Со слов пользователя Грисченков

Akkermanez
13.126.67.113 - - [28/Mar/2005:08:03:48 +0200] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 349 "-" "-"
216.204.156.202 - - [29/Mar/2005:09:38:51 +0200] "get /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir" 400 336 "-" "-
А это шо за потуги на предмет опреления window'ского IIS ?
А остальные потуги определения глюкавых форумов ?
Это именно попытка ... а не просто ошибка набора адреса.

Показать весь код

Не це не попытка це Нимба вирус ,если бы ты удосужился посмотреть ети адреса так

Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.

то думаю все подозрения об Атаках у тебя упали бы!

Grischenkow · 1 Апр 2005

Ну СПАСИБО успокоил, теперь я буду спать спокойно !

Кстати, никто не знает хороший/простой/удобный электронный магазин (shop)
Хотелось-бы на своем сервере "Барахолку" сделать.

Grischenkow · 1 Апр 2005

Akkermanez
Ok.
Эти сервера можно просмотреть вдоль и поперек их же оружием.
Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.

Akkermanez · 1 Апр 2005

Цитата

Со слов пользователя Грисченков
@Аккерманез
:Д
Теперь МелкоСофту запрещено посещать мой сервер !!!! :))

Не не правильно.

Нормальный Сетевой Администратор делает так .

он берёт открываент на своём Линуксе Консоль и задаёт команду

whois 213.126.67.113
и получает
remarks:#####################################
remarks:# Don't contact me for abuse or #
remarks:# complaints, please contact: #
remarks:# #
remarks:# Abuse, Spam: misbruik@casema.nl#
remarks:# Helpdesk : helpdesk@casema.nl#
remarks:# #
remarks:#####################################

а потом пишет Маил.
"Привет Братаны ,гляньте там у себя на адрессок
213.126.67.113
задолбал он меня дикими запросами разберитесь ,может вы шо-то в запарке не углядели.
Сам понимаю работа тяжёлая все логи не усекёш."

А то приставь если тебя Боты начнут долбить ты шо весь инет будеш закрывать :)?

Akkermanez · 1 Апр 2005

Цитата

Со слов пользователя Grischenkow
Ну СПАСИБО успокоил, теперь я буду спать спокойно !

Кстати, никто не знает хороший/простой/удобный электронный магазин (shop)
Хотелось-бы на своем сервере "Барахолку" сделать.

Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.

Grischenkow · 1 Апр 2005

Спасибо.
Всем спокойной ночи.

Поделиться