Назад | Перейти на главную страницу

Восстановление после фишинга на сервере

В прошлом году мой сервер был взломан, и был загружен фишинговый сайт. Его обнаружили и удалили в течение нескольких дней. Год спустя я все еще получаю огромные объемы трафика на хитрый URL на моем сервере http: //myipaddress/www.bankofamerica.com/ Это означает, что мои файлы журналов заполняются очень быстро. Как лучше всего справиться с нежелательным трафиком?

Пустая страница ожидания будет означать, что они не получат ошибку 404, поэтому эта идея не поможет.

Кроме того, один из моих IP-адресов занесен в черный список после использования в фишинг-атаке. Я не использую этот IP, так что лучше сделать, могу ли я его отключить? Отключить? Сразу после мыслей людей.

Поскольку вы не указали оборудование и ОС, с которыми вы работаете, я дам вам общий совет - просто брандмауэр пакетов. Трафик для вас не имеет значения, так почему вы должны даже позволить ему загружать ваш веб-сервер? Вы не обязаны возвращать 404, и он не будет служить цели.

Из-за аналогичной проблемы я уже около 7 лет отправляю 404 по URL-адресу, но до сих пор получаю обращения. Не беспокойся.

Если вы используете сервер на базе Linux, вы можете использовать для этого брандмауэр IPTables. Вы должны включить поддержку сопоставления строк (скорее всего, она уже включена, поэтому просто попробуйте) и используйте такие параметры, как следующие, чтобы сопоставить строку со всеми пакетами tcp на порт 80 в вашей входной цепочке:

iptables -I INPUT -p tcp --dport 80 -s 0.0.0.0/0 \
-m string –string "www.bankofamerica.com" –algo bm -j REJECT

Чтобы входящий трафик знал, что вы его не принимаете, я бы предложил использовать политику REJECT вместо DROP, поскольку REJECT отправляет обратно пакет с ошибкой.

Не по теме:

Я почти был бы склонен подбросить страницу Google Adwords или как-то перенаправить этот трафик. Посмотри, не сможешь ли ты заработать на этом несколько долларов.


Кроме того, вы должны иметь возможность настроить свою систему, чтобы не регистрировать этот конкретный сайт / страницу. Если все остальное не помогает, IPTABLES (предполагая, что здесь Linux) проверяет строку, а затем DROP или REJECT пакет.


Я бы также посмотрел, ОТКУДА идет трафик, и посмотрел, не могу ли я что-то сделать, чтобы остановить его у источника.

Вам следует настроить robots.txt, чтобы запретить индексацию всего каталога / vhost, чтобы он, надеюсь, был удален из индексов в соответствии со стандартами.

Кроме того, вы можете ответить заголовком HTTP 410 Gone, см. http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

Перенаправляйте все запросы GET и POST на этот ответ с одним заголовком и не отправляйте никакого дополнительного содержимого.

Я почти уверен, что вы также можете отключить ведение журнала на этом конкретном ресурсе и указать веб-серверу использовать ограничение пропускной способности / соединения для снижения трафика.