Помогите спастись от флуд-атаки на сервер

[dzimedrol]

Помогите спастись от флуд-атаки на сервер

Уже с неделю кто-то жестко лазит по гостевой книге скриптом и постит в нее примерно с интенсивностью раз в минуту вырезки какой-то спам-ерунды. Почти все запросы флудера идут с разных ip-адресов, но общее у всех этих запросов: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Флудер постит с не менее чем трех десятков различных ip-адресов, сервера я проверил - все из Штатов, очевидно, к флудеру никакого отношения не имеют.
Вот некоторые из этих айпишников:
69.165.105.80
24.186.87.112
70.186.166.22
205.250.103.66
70.27.17.90
68.58.184.14
69.196.138.2

Хочу остановить атаку и по возможности наказать ее инициатора (если это, конечно, не какой-то публичный флуд-робот).
Надеюсь на вашу помощь.

 

[Сергей123]

Не длинный пример ерунды покажешь?

 

[dzimedrol]

Уже все стерли, к сожалению, и гостевую закрыли на запись. В основном реклама виагры и ссылки на сайты ее продающие. Вобщем то, что обычно приходит в спам-рассылках по почте. Были еще письма типа как от старого друга, который советует тебе воспользоваться каким то товаром, в стиле "привет дружище, давно не виделись. Недавно купил себе....". Все на английском. Размер каждого сообщения - примерно 200 символов.

-~{}~ 17.02.06 16:27:

Иногда сообщения флудера идут пачками - по 30 штук за секунду с разных айпи, все сообщения одинаковые. Это уже DDoS какой-то.

 

[Сергей123]

Ну, я бы, наверное, начал со смены action'а, имён элементов форм, запретов submit'а чаще чем, приёма submit'а только от запросивших форму... Для начала...

 

[dzimedrol]

Согласен. Я так и сделаю. Если кто-то просто добавил гостевую в очередь флуд-машины и забыл, то это поможет. А вот если он это контролирует...
Забыл сказать, что флуд робот не просто тупо постит, но он еще и шарит по страницам гостевой.

 

[Сергей123]

Если кто-то просто добавил гостевую в очередь флуд-машины и забыл, то это поможет.

Я не очень в этом разбираюсь, но, думаю, это сильно зависит от флуд-машины.

 

[dzimedrol]

да, в идеале хотелось бы не просто защитится от видимых эффектов флудера, но и сделать так, чтобы он не слал на сервер свои запросы вообще, то есть заткнуть его.

 

[Dor]

Появилась совершенно аналогичная проблема.
Это какой-то софт новый, спамерский.
Хотел сделать картинку на ввод сообщения, но времени все нет покавыряться - поэтому сделал времянку: просьбу о том, чтобы перед активной ссылкой указывали два символа, потом проверяю, если href есть без этих символов - то, нахрен его редиректом, в Китай.
Вряд ли кто будет что-то в софте менять из-за меня одного, а от ручного спама ничего не спасет.

 

[Romantik]

dzimedrol
поставь защиту картинку с числами

 

[Сергей123]

заткнуть его

можно закрыть порт, наверное )

от ручного спама ничего не спасет

ничего полностью автоматическое не спасёт

 

[Sizz]

УЯЗВИМОСТЬ В ФОРМАХ ОБРАТНОЙ СВЯЗИ

Сейчас активно используется спамерами для массовых рассылок с использованием
веб-сервера. Считаю долгом предупредить всех администраторов и веб-разработчиков.

Это узвимость появляется при недостаточном контроле входных данных,
передаваемых в функцию PHP mail.

Например, вы формируете header следующим образом:
'From: '.$Sender."\n"
.'MIME-Version: 1.0'."\n"
.'Content-Type: text/html; charset=windows-1251'."\n"
.'Content-Transfer-Encoding: 8bit

Если не контролировать содержимое переменной $Sender, то туда можно подсунуть
любой заголовок. Нужно вырезать все управляющие символы ("\n\r").
Лучше сразу удалять все символы < 0x20. И, кончено, обрезать строку до 15-20 символов.

http://www.opennet.ru/post/vsluhforumID8/3872/0/

 

[SID]

http://www.opennet.ru/post/vsluhforumID8/3872/0/

пишет мне "Sorry. Restricted area ! Only for humans." Хмм за ково меня считают?

 

[baev]

Sizz, топиком не ошиблись?

Про «формы обратной связи» это тут:
http://phpclub.ru/talk/showthread.php?s=&threadid=80327&rand=26

 

[Sizz]

baev
абсолютно нет.
разницы в данном случае никакой, что через форму обратной связи, что через гостевую книгу расылается спам