rixo Posted September 25, 2008 Posted September 25, 2008 Есть сеть под NAT в сети появился троян, готорый шлёт реквесты на google.com походу очередной способ продвижки сайта в поисковике. Вобщем гуголь сначала банит на тест каптча, через некоторое время банит совсем как только троянов придушу в течении 5 минут доступ нормализуется суть в том что бежать к юзеру бесполезно, вычистил трояна, через 2 дня он сново его цепляет ламеров в сетке нынче придостаточно, которым что то объяснить тяжко, легче им гуголь забанить и всё так вот встаёт вопрост как карисво забанить гуголь отдельному пользователю через iptables банить нужно хост , ip у него много, в одну строчку без особого напряга на проц а то и так правил много Вставить ник Quote
mr.Scamp Posted October 1, 2008 Posted October 1, 2008 забаньте совсем этого отдельного пользователя вплоть до излечения компьютера Вставить ник Quote
nuclearcat Posted October 3, 2008 Posted October 3, 2008 iptables -I FORWARD -s x.x.x.x/32 -p tcp --dport 80 -m string --algo bm --string "google.com" -j DROP Вставить ник Quote
rixo Posted October 13, 2008 Author Posted October 13, 2008 спасибо, ядерному коту за ответ я про эту конструкцию у гуля быстро нашарил, тока не работала она, покурил ман, понял, что модуль при сборке ядра нужно было включить to mr.Scamp да юзера лечить бесполезно, я писал об этом. Сейчас ламерья столько в сети, что жесть, спросите у своих клиентов знают они что такое троян?? вы будете приятно удивлены ответами :) Вставить ник Quote
nuclearcat Posted October 13, 2008 Posted October 13, 2008 Можно еще хитрой конструкцией с hashlimit + recent - сделать автоматический бан, и если юзверь попустится - автоматический разбан Только сейчас влом это все строчить... у меня нечто подобное служит для защиты прокси от DDoS. Вставить ник Quote
nuclearcat Posted October 13, 2008 Posted October 13, 2008 iptables -A INPUT -s 172.16.0.0/255.255.0.0 -p tcp -m tcp --dport 8080 --syn -m recent --name flooders --seconds 15 --update -j LOG --log-prefix 'predicted ' iptables -A INPUT -s 172.16.0.0/255.255.0.0 -p tcp -m tcp --dport 8080 --syn -m recent --name flooders --rcheck -j DROP iptables -A INPUT -s 172.16.0.0/255.255.0.0 -p tcp -m tcp --dport 8080 --syn -m hashlimit --hashlimit 3/sec --hashlimit-burst 360 --hashlimit-mode srcip --hashlimit-name PROXYFLOOD -j ACCEPT iptables -A INPUT -s 172.16.0.0/255.255.0.0 -p tcp -m tcp --dport 8080 --syn -m recent --name flooders --set -j LOG iptables -A INPUT -s 172.16.0.0/255.255.0.0 -p tcp -m tcp --dport 8080 --syn -j DROP Вот типа такого Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.