作者 主題: 關於砍站  (閱讀 195574 次)

0 會員 與 1 訪客 正在閱讀本文。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #30 於: 2002-12-27 17:26 »
最新版本已升級到 v0.99 了...
發現 0.98 還是有被砍的危險,這次修改主要在於:
# Version 0.99
#       1) add detection for running process of script
#       2) add limit rule to OUTPUT
#       3) remove SYN factor from permanent drop rule

我不再貼 code 上來了,有抓過舊版的請更新:
http://study-area.ks.edu.tw/linux/src/block.http.sh.tgz

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #31 於: 2003-01-03 12:41 »
change log:

# Version 1.00
#       1) add detection for httpd daemon, restart while missing.
# Version 1.01
#       1) change httpd daemon detection from netstat to ps
#       2) add detection for DROP rules before permanet drop
# Version 1.02
#       1) add removal of Semaphore Arrays of apache
#       2) add -i interface elements in permanet drop rule
#       3) bug fix: change --dport to --sport in OUTPUT limit

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #32 於: 2003-01-09 18:21 »
change log

# Version 1.03
#       1) change process detection from PID file to ps command
#       2) bug fix: add path to iptables-save command

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #33 於: 2003-01-13 15:11 »
# Version 1.04
#       1) bug fix: correct detection method of script process

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #34 於: 2003-01-14 14:56 »
# Version 1.05
#       1) bug fix: correct time stamp assignment for list files
#       2) bug fix: correct touch command in up_list function

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
關於砍站
« 回覆 #35 於: 2003-01-14 17:13 »
有些站可以拒絕用flashget,telport之類的軟體來mirror web site,
也許可以參考它們的作法....

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #36 於: 2003-01-14 23:04 »
不知道有 document 可以指點一下嗎?

eric_liao

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
關於砍站
« 回覆 #37 於: 2003-01-29 16:59 »
於 httpd.conf 修改
代碼: [選擇]

        AllowOverride All
        BrowserMatch "Mozilla" browser
        Order deny,allow
        allow from env=browser
        deny from all


不過,這只能防君子,因為像 teleport 這類軟體都能偽裝身份為 IE 。

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
關於砍站
« 回覆 #38 於: 2003-01-29 19:42 »
引述: "eric_liao"
於 httpd.conf 修改
代碼: [選擇]

        AllowOverride All
        BrowserMatch "Mozilla" browser
        Order deny,allow
        allow from env=browser
        deny from all


不過,這只能防君子,因為像 teleport 這類軟體都能偽裝身份為 IE 。
這個方法用途不大!因為目前的砍站軟體都能夠『假裝』瀏覽器了! @_@

zxcvbn101

  • 懷疑的國中生
  • **
  • 文章數: 70
    • 檢視個人資料
關於砍站
« 回覆 #39 於: 2003-02-18 00:04 »
我的作法是送cookie給對方,即使他們能假裝成瀏覽器
但沒辦法接受cookie
不過
如果堅持不開cookie的就進不來
如果換電腦或cookie不見的
就要再做一次接受cookie的動作
然後再進網站
我用了以後
就比較好了
但是還是防不了像pchome/openfind之類的搜索引擎
已經叫所有機器人都不要來了
不過他們的反應很遲鈍
偶而還是會晃進來
只好直接將這些ip給block掉


引述: "VBird"
引述: "eric_liao"
於 httpd.conf 修改
代碼: [選擇]

        AllowOverride All
        BrowserMatch "Mozilla" browser
        Order deny,allow
        allow from env=browser
        deny from all


不過,這只能防君子,因為像 teleport 這類軟體都能偽裝身份為 IE 。
這個方法用途不大!因為目前的砍站軟體都能夠『假裝』瀏覽器了! @_@

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
關於砍站
« 回覆 #40 於: 2003-02-27 13:35 »
Kenny 大哥:

最近改寫了砍站軟體的抵擋方式,使用偵測 syn 這個 tcp 封包的方法,
可以修正不小心將使用 proxy 連上的使用者『擋住』的窘境!
http://phorum.vbird.org/viewtopic.php?t=18

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #41 於: 2003-02-28 18:12 »
我們的學員 wilson 兄也提供了一個不錯的方法,不知大家能幫忙測試看看嗎:
引述: "wilson"
您好:

在逛外面的網站時 發現某個站無法以砍站軟體(我teleport pro測試)
模仿該站的作法後 在我機器上測試一下 發現teleport pro也無法砍我的資料了
如果學長覺得有需要的話 不妨試試.
在https下新增一個檔案  檔案名為robots.txt(只有兩行)
內容:User-agent: *
   Disallow: /
  :P

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
關於砍站
« 回覆 #42 於: 2003-02-28 19:02 »
不過我覺得有點怕怕的~
因為如果有分析過 apache 的 log file 會發現,
這個檔案一再地被嘗試讀取,
那就是 nimda 病毒的『魔爪』啦!
果真如此的話,那麼是否有可能這個檔案被利用來做壞事呢?
我不清楚啦!所以要請教大家說! ^_^

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
關於砍站
« 回覆 #43 於: 2003-03-01 10:42 »
那算是假病毒嗎?

不知道有沒有辦法,
讓中毒攻擊別人的主機自我毀滅,
我想別人會理解我大義滅親(不知親在那兒)的作法...

dken

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
可將文件做整理
« 回覆 #44 於: 2003-03-05 01:59 »

也許可以將文件資料整理起來,做成單一html檔,或其他文件格式,來讓使用者download,如此可限制流量,也可以避免砍站的情況,這算是治本的方式吧... :)

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
Re: 可將文件做整理
« 回覆 #45 於: 2003-05-27 23:57 »
引述: "dken"

也許可以將文件資料整理起來,做成單一html檔,或其他文件格式,來讓使用者download,如此可限制流量,也可以避免砍站的情況,這算是治本的方式吧... :)

我們(很早以前)已提供整個 web 的 tarball :
http://study-area.ks.edu.tw/html.tgz
也提供最新的 modify_log :
http://www.study-area.org/modify_log.txt

應是"仁至義盡"了吧?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #46 於: 2003-05-27 23:58 »
最新 block script 更新:

# Version 1.07
#       1) add decection for TIME_WAIT peer
#       2) improve exeception list determination

下載:
http://www.study-area.org/linux/src/block.http.sh.tgz

  • 實習板主
  • 活潑的大學生
  • ***
  • 文章數: 270
    • 檢視個人資料
關於砍站
« 回覆 #47 於: 2003-05-28 00:25 »
netman兄:
請教一下,在IE把網頁設定成離線瀏覽(包含多層鏈結)是不是就是
種砍站行為,如果加上排程定期更新的話是否更糟?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #48 於: 2003-05-28 00:29 »
引述: "任俠"
netman兄:
請教一下,在IE把網頁設定成離線瀏覽(包含多層鏈結)是不是就是
種砍站行為,如果加上排程定期更新的話是否更糟?

嗯,有可能...
因為 script 是跟據 netstat 的結果來判斷的。

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
關於砍站
« 回覆 #49 於: 2003-05-28 06:46 »
若是無惡意的誤開過多連結.. 而遭 drop , 但幾分鐘後有上來失誤一次
只因不知道主機有防砍站設定... 我想這樣情況大有人在

是否能在 drop 之前(或之後) , 將他導向警告網頁呢...? (或對話訊息告知)


ps : 跳出了 "最新 10 篇文章" , 用搜尋才找到這裡
這篇已經進入寫程式或安全管理範圍了說... ^^

VBird

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 1516
    • 檢視個人資料
    • http://linux.vbird.org
關於砍站
« 回覆 #50 於: 2003-05-28 11:15 »
引述: "dark"
若是無惡意的誤開過多連結.. 而遭 drop , 但幾分鐘後有上來失誤一次
只因不知道主機有防砍站設定... 我想這樣情況大有人在

是否能在 drop 之前(或之後) , 將他導向警告網頁呢...? (或對話訊息告知)


ps : 跳出了 "最新 10 篇文章" , 用搜尋才找到這裡
這篇已經進入寫程式或安全管理範圍了說... ^^
應該沒有太大的關係吧!
因為我記得 netman 大哥寫的防砍站程式是依據 CPU loading 來決定是否進行偵測,
並且擋掉該 IP 的時間也不長(只有幾分鐘),
如果對方是正常使用的讀者,應該不可能感到任何不便的才對!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #51 於: 2003-05-28 12:28 »
引述: "dark"
若是無惡意的誤開過多連結.. 而遭 drop , 但幾分鐘後有上來失誤一次
只因不知道主機有防砍站設定... 我想這樣情況大有人在

是否能在 drop 之前(或之後) , 將他導向警告網頁呢...? (或對話訊息告知)


追蹤一下 script ,或看一下舊討論,你會發現如下構思:

    發表於: 星期二 十二月 03, 2002 3:01 pm    文章主題:      

    -----------------------------------------------------------
     
    今天再次改良了 script,目前是,只要在如下條件之一:

    CL_U: 75 <--- CPU 之 user loading 超過 75%
    CL_S: 10 <--- CPU 之 system loading 超過 10%
    HC_N: 300 <--- HTTP 連線超過 300 個 connection
    HC_U: 30 <--- HTTP 連線超過 30 個 client source

    然後就會抓出當時超過 24 個 connection 的主機,
    再將之 block 掉。

    我是用 crontab 每 2 分鍾跑,每次抓一次清單,
    然後保持 5 份記錄,若您的 IP 出現其中 3 次,才會擋...
    (通常是那些"頑強"的砍站者)
    當然,您要是本站"忠實"擁躉(每次連線超多且每抓必中)、同時使用固定 IP 的話,那可以來信告訴我,將您的 IP 加入豁免清單中。
    遺憾的是:若透過 isp proxy 而導致誤判,我目前還沒良策.... 希望大家能提供機制。謝謝!  


現在的標準有所修改,同時再增加一項:看看  TIME_WAIT 的連線數目是否超過指定限制:

代碼: [選擇]

CL_S=8          # CPU loading for system
CL_U=65         # CPU loading for user
HC_N=200        # HTTP connection number for session
HC_U=20         # HTTP connection number for source
TW_N=40         # TIME_WAIT number for session
.....
cpuload=$(/usr/bin/sar -u 1 3 | tail -1 | awk '{print $3":"$5}')
cpuusr=$(echo ${cpuload%:*} | sed 's/\..*$//')
cpusys=$(echo ${cpuload#*:} | sed 's/\..*$//')
http_cn=$(/bin/netstat -na | grep ":$HTTP_PORT" | wc -l | awk '{print $1}')
http_un=$(cat $HTTP_LIST_TMP | uniq | wc -l | awk '{print $1}')
http_tw=$(cat $HTTP_TW_TMP | wc -l | awk '{print $1}')
......
if [ "$cpusys" -gt "$CL_S" -o "$cpuusr" -gt "$CL_U" -o "$http_cn" -gt "$HC_N" \
        -o "$http_un" -gt "$HC_U" -o "$http_tw" -gt "$TW_N" ]
then
.....

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
關於砍站
« 回覆 #52 於: 2003-06-03 00:15 »
我在香港這邊連過來很久哦... 開7~8個瀏覽器,只有兩至三個能 access 伺服器,其他的在等待,等到那兩個瀏覽器取完資料,才到其他
由其是那些有20多貼的 topic,取得非常慢

所以只要一天太多人發了文,回到家,開很多個視窗,10多個... (機乎我會看所有的新文章)
有些等得太久,會變成"找不到伺服器",從而弄到我看文章的速度大跌...

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
關於砍站
« 回覆 #53 於: 2003-06-03 00:23 »
不知道香港從那兒連台灣比較快,
也可以可以弄個R-Proxy...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #54 於: 2003-06-03 13:56 »
嗯... 可能是線路原因:因為 tarnet 對國外的頻寬本來就不高...
我所寫的 script ,並沒在  phorum 上執行啦,所以不會擋你的連線。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
關於砍站
« 回覆 #55 於: 2003-06-03 16:41 »
國外連進來的確很慢.
我後來是使用家中的 ADSL 線路來當 proxy, 這樣子就快很多了.

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
關於砍站
« 回覆 #56 於: 2003-06-03 18:52 »
很慘 T-T
要小心不能開太多視窗...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
關於砍站
« 回覆 #57 於: 2003-06-03 22:58 »
引述: "paulso"
很慘 T-T
要小心不能開太多視窗...

說過了:與開多少視窗無關,因為這邊(phorum)沒擋...
原因應是 tarnet (phorum 所在的學術網) 與海外頻寬的限制。

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
關於砍站
« 回覆 #58 於: 2003-06-04 01:10 »
很慘耶T.T

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
關於砍站
« 回覆 #59 於: 2003-06-05 18:38 »
:evil:  :evil:  :evil:



你們看看右下角,我等 load 完這頁足足一小時有多,其中的等倒變成了「找不到伺服器」...

traceroute 結果如下:
代碼: [選擇]
# traceroute phorum.study-area.org
traceroute to phorum.study-area.org (140.113.27.184), 30 hops max, 38 byte packets
 1  192.168.0.1 (192.168.0.1)  0.602 ms  2.167 ms  5.820 ms
 2  061238116001.ctinets.com (61.238.116.1)  3.604 ms  1.984 ms  1.822 ms
 3  203185019110.ctinets.com (203.185.19.110)  2.462 ms  3.489 ms  3.076 ms
 4  061238030230.ctinets.com (61.238.30.230)  7.176 ms  4.716 ms  4.108 ms
 5  192.168.3.3 (192.168.3.3)  5.984 ms  7.744 ms *
 6  * 192.168.3.4 (192.168.3.4)  8.538 ms  3.737 ms
 7  agc2-RGE.hkix.net (202.40.161.189)  6.353 ms  7.912 ms  5.830 ms
 8  pos0-1-622M.cr1.HKG1.gblx.net (203.192.134.129)  6.409 ms  8.341 ms  7.867 ms
 9  203.192.134.178 (203.192.134.178)  26.979 ms  23.807 ms  24.996 ms
10  so1-0-0-622M.ar1.TPE3.gblx.net (203.192.171.74)  23.933 ms  29.455 ms  28.152 ms
11  * Tanet-MOE.so-0-2-1.ar1.TPE3.gblx.net (203.192.143.166)  30.123 ms  34.536 ms
12  203.72.43.2 (203.72.43.2)  29.958 ms  27.003 ms *
13  TANetBackbone-NCTU.edu.tw (192.83.196.113)  33.631 ms  33.729 ms  31.863 ms
14  * 203.72.43.194 (203.72.43.194)  33.968 ms  28.700 ms
15  * * *

有兩點:
一、在第 6, 10, 14 停頓了一會(有 * 的為停頓一會)
二、在第 4 之後,那是出了我的 isp,為何到了 c class ip 的?