A legtöbb biztonsági problémát a bot -ok és botnet -ek okozzák. Már nem csak linkeket és URL -eket követnek, hanem nagy részük már átcsúszik az IP blokkoláson is. Nem elég, hogy biztonsági rések után kutatnak a weboldalainkon, de az állandó lekérdezésekkel terhelik sávszélességünket, mely a szolgáltatás rovására megy.
Sok bot rendszergazdai jogosultság megszerzésére törekszik, míg mások egyenesen az ismert WordPress hibákat próbálják kihasználni vagy éppen ártalmas scripteket (programkódokat) próbálnak beszúrni weboldalunk fájljaiba. Akadnak olyanok is, melyek csak megjelölnek egy későbbi támadás miatt.
Annak érdekében, hogy sikeresen felvegyük a harcot a bot -ok támadásaival szemben, összeszedtünk néhány védelmi intézkedést, melyek ugyan máshol is megtalálhatóak, de itt kimondottan a bot -okra vannak specializálva. Első sorban biztonsági problémák megoldását szolgálják, de hatékonyak a spam bot -ok és a tartalomgyűjtő bot -ok ellen is.
Itt jegyeznénk meg, hogy az elkövetkezendőkben dolgozni kell majd az Apache -csal, tudni kell egyet s mást a .htaccess fájlról és szerver-ismeretek is szükségesek.
1. .htaccess szabályok és feketelista
Bár lehet használni a .htaccess szabályait és a feketelistát, de vannak jobb módszerek is, ha rendszergazdai jogosultságunk van a szerver operációs rendszerében. Ha csak bérelt szerver van a birtokunkban, úgy a legszerencsésebb megoldás a .htaccess szabályok és a feketelista alkalmazása. A bot -ok kezelése ezzel a módszerrel gyakorlatilag lehetetlen, mivel a legtöbb bot a Mozillát használja, mint “user-agent” (azonosító) vagy épp egyedi megnevezéssel rendelkeznek.
Nincsen egyszerű módja harcolni a bot -okkal. Le kell süllyednünk a szerver naplófájljainak mélyére és megkeresnünk, hogy melyik okozza a problémákat. Az igazi harchoz nagyon résen kell lennünk.
Íme egy példa a .htaccess tiltólistájára, mely a leggyakoribb bot -okat tartalmazza. A legfontosabb rész az első sor: kizár minden olyan bot -ot, mely üres “user-agent” -tel rendelkezik (a példát ne másoljuk be azonnal .htaccess fájlunkba, csak ha ezt a technikát választjuk).
SetEnvIfNoCase User-Agent ^$ bad_bot #this is for blank user-agents
SetEnvIfNoCase User-Agent "^Jakarta" bad_bot
SetEnvIfNoCase User-Agent "^User-Agent" bad_bot
SetEnvIfNoCase User-Agent "^libwww," bad_bot
SetEnvIfNoCase User-Agent "^lwp-trivial" bad_bot
SetEnvIfNoCase User-Agent "^Snoopy" bad_bot
SetEnvIfNoCase User-Agent "^PHPCrawl" bad_bot
SetEnvIfNoCase User-Agent "^WEP Search" bad_bot
SetEnvIfNoCase User-Agent "^Missigua Locator" bad_bot
SetEnvIfNoCase User-Agent "^ISC Systems iRc" bad_bot
SetEnvIfNoCase User-Agent "^lwp-trivial" bad_bot
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
Csak azoknak a BadBot -oknak (rosszindulató bot -ok) a kizárása, melyek nem rendelkeznek azonosítóval:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POSTRewriteCond %{HTTP_USER_AGENT} ^$RewriteRule .* - [F]
Néhány nagyobb lista a BadBot -okról és “user-agent” azonosítójukról:
Perishablepress.com feketelista
WP-Secure feketelistája
User-Agents.org gyűjteménye
Bots vs. Browsers
User-Agent Strings
2. Lekérdezések és mappaböngészés
A legtöbb Bot ártalmas lekérdezéseket küld, illetve böngészi a mappaszerkezetünket, hátha talál biztonsági réseket a WordPress bővítményeiben és sablonjaiban. Szerencsére ezeket már kijavították, de néhány esetben azonban mégis előfordulhatnak apróbb rések.
Options All -Indexes
Options +FollowSymLinks
A Perishable Press .htaccess szabálygyűjteményét gyakran frissítik. Jól lehet alkalmazni PHPIDS -sel és a lekérdezési szabályok módosításával, ha Apache Mod Security -t használunk.
3. Root-jogra törekvő bot -ok
A most következő módszer elég egyszerű. Alkalmazásával az ártalmas bot -ok számát – melyek után még szaglásznunk kell – közel nullára csökkenthetjük!
a.) Változtassuk meg az alapértelmezett SSH portot. Ehhez a fail2ban -ra lesz szükségünk.
b.) Tiltsuk le a root és felhasználó alapú bejelentkezést. Ha valamilyen oknál fogva ezekre mégis szükségünk van, úgy telepítsük a Denyhosts -ot.
c.) Alkalmazzunk “port-kopogás” -t. Ez azt jelenti, hogy alapvetően minden port tiltva van. A tűzfal a bejelentkezést követően engedélyezi a kívánt portot.
4. fail2ban használata
A fail2ban képes a szerver logfájljait átnézni és azok alapján alkotni meg a szabályokat, úgynevezett börtönöket (elég találó). Például lehet, hogy naplózva lettek az SSH -n keresztül történő bejutási kísérletek. fail2ban segítésével meghatározott ideig tilthatjuk a forrás IP címét.
Mivel a fail2ban szabályai a naplófájlokon alapulnak, hatékonyan alkalmazható más, fejlettebb tűzfalakkal együtt, mint például a mod_security tiltólistája vagy a hibás fejléc-kérések szabályainak beállításával.
A fail2ban használati útmutatóját megtalálhatjuk a termék weboldalán.
5. mod_security használata
A mod_security egy lehetőségekben gazdag Apache tűzfal. Használatával sokkal egyszerűbb kezelni a BadBot -okat, mivel külön szabálycsoportokat állíthatunk fel rendszerezésre, naplózásra, illetve mindig naprakész frissítéseket kap a központtól. Jelenleg a mod_security fizetős, de általában 90 napig lehet használni ingyenesen is.
Letöltés a következő helyekről: www.modsecurity.org, www.gotroot.com.
A sourceforget.net -en pedig találhatunk egy példát, mely kimondottan bot -okra lett specializálva.
6. Honey-pots
A Honey-pot segítségével adatokat gyűjthetünk vagy ejthetünk csapdába a bot -ok elleni állandó harc során. Például készíthetünk vele a WordPress bejelentkezési oldalára egy rejtett mezőt, ami ugyan a felhasználók számára láthatatlan, viszont a bot -ok számára valósnak tűnik. Amikro a bot megpróbálja kitölteni a rejtett mezőket és elküldeni (megpróbálna bejelentkezni), mi naplózni tudjuk a kísérleteit, kitilthatjuk, átirányíthatjuk máshova, vagy ha igazán gonoszak akarunk lenni vele, akkor egy végtelen ciklusba is küldhetjük.
Honeypot bővítmények a WordPress -hez: Honeypots, http:BL.
Honeypot projekt weboldala: www.projecthoneypot.org
Honeynet projekt weboldala: www.honeynet.org
Microsoft Honeymonkey
Következő cikk: 301 -es permanens átirányítás htaccess segítségével
