Saldiri: Turkiyedeki IP lerden gelen ziyaretcileri farkli bir siteye yonlendirme ??

kuaza · 19 Mart 2010

arkadaslar yogun olarak saldiri aliyorum malumunuz bende yogun olarak istek yapan IP leri banliyorum, epey fazla tek tek banlamak imkansiz, banlasam bile degiserek geliyor.. sunucuyu kasmayacak sekilde istek yapiliyor sanirim hatti bogarak sitelerin yavaslamasina sonrada hic acilmamasina neden oluyor..

bende bu ip araligindakileri banladim:

iptables -A INPUT -s 88.0.0.0/8 -j DROP
iptables -A INPUT -s 78.0.0.0/8 -j DROP

bunlari banladiktan sonra siteler normale donuyor, hiz geri geliyor.. ancak sanirim bu ipler tum Turkiye de gecerli

en iyisi bu ip den gelenleri ayri bir sunucudaki index.php ye yonlendirmek.. bu mumkunmudur

OsmanAtabey · 19 Mart 2010

Yönlendirme yapmak ayrı bir yük bindirir servera. Gelen iplerden örnek verirmisin biraz. Kaç tekrar bağlantı yapmış veya kaç dakika arayla vs..

kuaza · 19 Mart 2010

Suandakiler

sunucuyu kasmiyor, direk baglanti hattini etkiliyor...

1 119.235.237.86
1 188.3.227.85
1 188.3.66.1
1 188.56.255.110
1 188.58.242.117
1 188.58.70.104
1 194.54.57.53
1 195.174.71.110
1 212.186.125.224
1 217.131.113.158
1 217.64.31.9
1 67.195.112.58
1 70.52.183.196
1 77.190.92.61
1 77.28.187.222
1 78.160.206.185
1 78.161.98.178
1 78.162.156.41
1 78.162.173.42
1 78.163.215.164
1 78.163.4.123
1 78.164.159.107
1 78.165.11.229
1 78.165.188.25
1 78.165.82.110
1 78.165.95.116
1 78.166.170.224
1 78.166.196.173
1 78.167.144.77
1 78.167.148.248
1 78.167.30.70
1 78.168.119.30
1 78.168.128.95
1 78.168.229.28
1 78.169.69.154
1 78.170.147.0
1 78.170.184.55
1 78.172.230.234
1 78.173.128.34
1 78.173.228.43
1 78.173.78.73
1 78.174.94.55
1 78.175.27.193
1 78.176.106.95
1 78.177.190.16
1 78.177.20.199
1 78.177.69.177
1 78.179.108.89
1 78.179.204.175
1 78.179.227.94
1 78.180.41.209
1 78.181.13.228
1 78.181.44.211
1 78.182.140.182
1 78.183.247.122
1 78.183.59.32
1 78.183.86.159
1 78.184.53.107
1 78.186.188.240
1 78.186.69.11
1 78.187.169.40
1 78.189.168.32
1 78.190.1.0
1 78.190.129.139
1 78.191.142.20
1 78.191.30.180
1 81.213.214.185
1 81.214.90.100
1 81.215.173.19
1 81.215.60.99
1 81.215.94.201
1 82.132.136.198
1 85.102.175.91
1 85.103.26.127
1 85.104.94.239
1 85.106.112.45
1 85.108.4.72
1 85.178.157.135
1 85.96.153.32
1 85.97.69.107
1 85.98.234.15
1 88.226.184.6
1 88.228.128.221
1 88.228.254.209
1 88.231.205.248
1 88.231.238.99
1 88.231.241.3
1 88.232.121.143
1 88.232.177.175
1 88.232.200.111
1 88.233.128.10
1 88.233.42.23
1 88.234.108.156
1 88.234.13.86
1 88.234.41.213
1 88.235.184.242
1 88.235.219.21
1 88.235.242.94
1 88.235.66.113
1 88.236.180.223
1 88.238.105.242
1 88.239.220.119
1 88.240.243.35
1 88.240.7.99
1 88.241.189.193
1 88.241.95.173
1 88.242.246.247
1 88.242.53.157
1 88.243.10.94
1 88.243.193.146
1 88.246.181.0
1 88.246.83.32
1 88.247.141.83
1 88.251.194.79
1 88.252.182.53
1 88.254.10.37
1 88.254.89.139
1 91.203.96.64
1 91.214.45.103
1 92.236.230.147
1 92.44.154.121
1 94.120.107.100
1 94.120.126.90
1 94.120.150.234
1 94.123.162.73
1 94.123.192.249
1 94.79.106.95
1 95.10.158.117
1 95.10.65.130
1 95.14.12.208
1 95.14.152.65
1 95.14.208.95
1 95.14.252.187
1 95.15.243.134
2 188.3.41.183
2 213.211.19.13
2 77.31.192.240
2 78.161.155.100
2 78.163.179.41
2 78.168.252.156
2 78.169.196.46
2 78.171.61.203
2 78.172.211.12
2 78.180.217.99
2 78.182.5.178
2 78.182.80.231
2 85.101.147.212
2 85.105.227.55
2 85.108.59.125
2 88.226.232.37
2 88.229.200.93
2 88.231.207.213
2 88.233.223.181
2 88.238.244.171
2 88.244.247.25
2 88.246.149.6
2 88.250.56.138
2 88.252.213.85
2 92.44.103.149
2 93.112.112.225
2 93.86.186.94
2 94.122.153.214
2 95.173.232.188
3 188.99.242.195
3 213.43.114.145
3 78.177.8.144
3 85.102.43.10
3 88.226.197.1
3 88.226.204.215
3 88.246.165.213
3 95.8.32.197
4 81.214.208.98
4 88.243.241.243
4 88.252.150.6
4 88.254.67.54
5 78.167.205.72
5 78.184.194.196

birde trden gelen buradaki 78 .. 88... li ipler son kisimlar habire degisiyor, yani tek tek cikan sonuclardan banlasanda farkli bir sekilde yine cikiyorlar

yoplu olarak yukleniyorlar sanirim..

kuaza · 19 Mart 2010

ornek hemen degisiyorlar

buda simdiki

1 188.56.234.160
1 188.58.134.249
1 195.174.211.249
1 212.156.215.65
1 41.217.191.54
1 41.254.1.122
1 70.52.183.196
1 76.99.129.116
1 77.31.192.240
1 78.160.230.44
1 78.160.56.194
1 78.161.1.121
1 78.161.203.86
1 78.161.84.38
1 78.163.14.202
1 78.163.180.148
1 78.163.99.144
1 78.164.231.45
1 78.165.254.120
1 78.165.94.191
1 78.166.146.18
1 78.167.218.82
1 78.168.238.142
1 78.171.159.172
1 78.171.202.14
1 78.171.211.55
1 78.172.234.43
1 78.172.80.93
1 78.175.47.216
1 78.175.91.32
1 78.177.23.219
1 78.177.84.199
1 78.178.144.121
1 78.178.57.253
1 78.179.118.77
1 78.179.95.37
1 78.180.48.232
1 78.180.65.60
1 78.182.140.40
1 78.182.88.40
1 78.183.136.224
1 78.183.34.51
1 78.185.56.134
1 78.186.10.101
1 78.186.200.46
1 78.186.8.62
1 78.191.123.81
1 78.191.244.174
1 78.191.30.180
1 78.43.166.5
1 78.94.217.82
1 81.213.236.36
1 81.214.98.233
1 81.215.83.207
1 83.66.149.81
1 84.129.197.19
1 84.75.101.118
1 85.101.93.255
1 85.102.41.215
1 85.103.160.216
1 85.104.155.94
1 85.106.197.195
1 85.106.63.239
1 85.106.71.209
1 85.106.97.217
1 85.107.243.170
1 85.107.247.243
1 85.108.175.141
1 85.110.181.86
1 85.110.90.83
1 85.110.93.11
1 85.178.126.63
1 85.178.157.135
1 85.96.117.123
1 85.96.222.193
1 85.97.95.28
1 85.98.185.139
1 85.99.180.175
1 85.99.61.124
1 85.99.71.210
1 88.224.40.131
1 88.226.203.241
1 88.226.236.219
1 88.226.77.190
1 88.227.145.181
1 88.227.199.55
1 88.227.219.60
1 88.228.202.200
1 88.228.80.218
1 88.229.28.28
1 88.230.163.100
1 88.230.22.13
1 88.230.231.87
1 88.231.160.147
1 88.234.125.210
1 88.235.16.212
1 88.235.246.170
1 88.235.64.178
1 88.236.126.197
1 88.237.18.43
1 88.237.218.84
1 88.237.28.13
1 88.238.59.11
1 88.239.135.206
1 88.239.201.61
1 88.239.49.113
1 88.240.183.125
1 88.240.61.194
1 88.240.89.145
1 88.241.66.185
1 88.242.239.90
1 88.242.43.80
1 88.243.144.254
1 88.244.247.25
1 88.244.70.109
1 88.245.221.111
1 88.245.92.209
1 88.246.163.54
1 88.247.182.156
1 88.247.25.183
1 88.249.193.249
1 88.249.194.61
1 88.249.5.185
1 88.250.208.123
1 88.251.164.130
1 88.251.171.170
1 88.251.220.80
1 88.251.56.178
1 88.251.58.166
1 88.252.150.166
1 88.252.57.71
1 88.253.208.34
1 88.253.223.71
1 88.253.36.130
1 88.253.64.2
1 88.254.135.87
1 91.205.68.59
1 92.44.34.86
1 94.120.45.103
1 94.122.170.151
1 94.122.197.187
1 94.122.200.210
1 94.123.111.31
1 94.123.192.249
1 94.123.193.18
1 94.21.52.207
1 94.54.10.98
1 94.55.40.77
1 94.55.52.173
1 95.10.171.228
1 95.10.184.69
1 95.15.196.161
1 95.70.146.103
1 95.8.144.215
1 95.8.18.208
2 188.58.235.70
2 195.174.81.54
2 213.248.152.18
2 77.85.173.186
2 78.162.72.52
2 78.163.216.234
2 78.166.176.253
2 78.167.74.135
2 78.168.64.29
2 78.169.198.98
2 78.174.21.23
2 78.177.152.22
2 78.180.108.187
2 78.182.226.228
2 78.186.127.144
2 78.190.103.228
2 78.191.78.51
2 85.103.199.189
2 85.107.231.38
2 85.110.132.36
2 85.96.71.140
2 85.99.237.25
2 87.123.142.148
2 88.224.57.13
2 88.228.11.53
2 88.235.242.94
2 88.242.177.113
2 88.243.184.136
2 88.244.173.53
2 88.246.203.36
2 88.247.63.33
2 88.252.65.59
2 94.208.182.99
2 95.8.7.166
3 78.162.162.17
3 85.105.227.55
3 88.232.7.218
3 88.243.241.243
3 88.253.124.104
3 95.65.136.42
5 88.244.163.101
6 78.169.154.12

Tek · 19 Mart 2010

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

Burada anlatilmis komple istedigin ulkenin girisini engelleyebiliyorsun..

Buda turk ipleri
http://www.ipdeny.com/ipblocks/data/countries/tr.zone

OsmanAtabey · 19 Mart 2010

Bu sorun bir script yazarak çözülür fakat oturup incelemek lazım iyice. Normal kullanıcıları ayrı tutmak gerekiyor.

Tek · 19 Mart 2010

konuyu yanlis okumusum..

kuaza · 19 Mart 2010

ilk mesajdaki kodlar ile saldiri eksiliyor, turkiye haric cok iyi aciliyor hat bosaliyor, ancak trden gelen bu saldirinin amacini hala gorenemedim. keske bi bana zarar verse ama degil, binlerce kisi kullaniyor siteyi, onlara zarar veriyorlar..

emreunan · 19 Mart 2010

OsmanAtabey' Alıntı:
Bu sorun bir script yazarak çözülür fakat oturup incelemek lazım iyice. Normal kullanıcıları ayrı tutmak gerekiyor.

cpu da sorun yok %2 vs. hat doluyor, scripte kimse ulaşamaz ki,

OsmanAtabey · 19 Mart 2010

emreunan' Alıntı:
cpu da sorun yok %2 vs. hat doluyor, scripte kimse ulaşamaz ki,

Benim dediğim bash script tarzı bir şey yazılıcak ve iptables entegre çalışıcak. Zor olan kısmı o değil zaten saldırıyı inceleyip düzgün bir ayrıştırma yapmak lazım. Eğer incelememi isterseniz bana bir ssh hesabı açın bakayım nedir ne değildir.

kuaza · 19 Mart 2010

OsmanAtabey' Alıntı:
Benim dediğim bash script tarzı bir şey yazılıcak ve iptables entegre çalışıcak. Zor olan kısmı o değil zaten saldırıyı inceleyip düzgün bir ayrıştırma yapmak lazım. Eğer incelememi isterseniz bana bir ssh hesabı açın bakayım nedir ne değildir.

baglanti 100 Mbps nasil dolduruyorlarsa bunu bi anlamadim gitti...

Mywedding · 19 Mart 2010

spam iplerden saldırıyorlar, sunucunda CSF ile birlikte mod_securty kullanmanı tavsiye ederim

http://www.robtex.com/ip/88.245.92.209.html
http://www.robtex.com/ip/85.99.237.25.html
http://www.robtex.com/ip/188.56.234.160.html

türkçe açıklamalı;
http://www.keha.net/site-server-administration/527-csf-configserver-security-firewall.html

CSF de ülke IP lerini banlamak
http://forum.iyinet.com/webserver-kurulum-ve-ayarlar/68399-csf-de-ulke-ip-lerini-banlamak.html

kuaza · 19 Mart 2010

Mywedding' Alıntı:
spam iplerden saldırıyorlar, sunucunda CSF ile birlikte mod_securty kullanmanı tavsiye ederim

http://www.robtex.com/ip/88.245.92.209.html
http://www.robtex.com/ip/85.99.237.25.html
http://www.robtex.com/ip/188.56.234.160.html

türkçe açıklamalı;
http://www.keha.net/site-server-administration/527-csf-configserver-security-firewall.html

CSF de ülke IP lerini banlamak
http://forum.iyinet.com/webserver-kurulum-ve-ayarlar/68399-csf-de-ulke-ip-lerini-banlamak.html

yeni sunucuya gececez diye fazla ellememistik, ama kotu oldu bu

bu arada plesk icin gecerlimi onlar

Mywedding · 4 Nisan 2010

desteklenen sistemler

RedHat v7.3, v8.0, v9.0*openSUSE v10, v11 RedHat Enterprise v3, v4, v5 (32/64 bit)*Debian v3.1, v4.0, v5.0 CentOS v3, v4, v5 (32/64 bit)*Ubuntu v6.06 LTS, v8.10, v9.10 Fedora Core v1 to v12(32/64 bit)*Mandriva 2009, 2010 *Gentoo*Slackware v12.2

vps kullanıyorsanız

**Virtuozzo**OpenVZ VMwareUML XenMS Virtual Server

diğer detaylar için,
http://eitwebguru.com/install-and-configure-csf-on-a-vps-part-ii/#more-383

ayarlar

1) Disable Testing Mode Change
TESTING = "1"
to
TESTING = "0"

2) Enable incoming and outgoing Ports.
Search for
“TCP_IN” and add following ports for respective control panels
Plesk = "20,21,22,25,53,80,110,143,443,465,993,995,8443,8880"

Search for
“TCP_OUT” and add following Ports
Plesk = "20,21,22,25,53,37,43,80,113,443,465,873,5443"

Search “UDP_IN“
Plesk = "37,53,873"

Search “UDP_OUT“
Plesk = "53,873"

Z.YÜKSEL · 4 Nisan 2010

Mywedding' Alıntı:
spam iplerden saldırıyorlar, sunucunda CSF ile birlikte mod_securty kullanmanı tavsiye ederim

http://www.robtex.com/ip/88.245.92.209.html
http://www.robtex.com/ip/85.99.237.25.html
http://www.robtex.com/ip/188.56.234.160.html

türkçe açıklamalı;
http://www.keha.net/site-server-administration/527-csf-configserver-security-firewall.html

CSF de ülke IP lerini banlamak
http://forum.iyinet.com/webserver-kurulum-ve-ayarlar/68399-csf-de-ulke-ip-lerini-banlamak.html

Yukarıda verilen CSF saldırıda bulunan ip ile birlikte sisteme normal olarak girmek istiyen kullanıcılarında çoğunu banlamaktadır, tabi bu csf aşamalı birşey ona göre ayarlama yaparsın.