Восстановить с сервера фишинговый угон

Question

Восстановить с сервера фишинговый угон

Мой сервер был взломан в прошлом году, и был загружен фишинговый сайт. Он был обнаружен и удален в течение нескольких дней. Год спустя я все еще получаю огромные объемы трафика на хитрую ссылку на моем сервере http://myipaddress/www.bankofamerica.com/ что означает, что мои файлы журнала заполняются очень быстро. Как лучше всего справиться с этим нежелательным трафиком?

Пустая удерживающая страница будет означать, что они не получат ошибку 404, поэтому эта идея не поможет.

Кроме того, один из моих IP-адресов занесен в черный список после использования в фишинг-атаке. Я не использую этот IP, так что лучше всего сделать, можно ли его отключить? Должен ли я отключить это? Просто после мыслей людей.

0

security hacking phishing

Источник

07 сен '09 в 21:05

3 ответа

Другие вопросы по тегам security hacking phishing

Martijn Heemels 07 сен '09 в 21:31 2009-09-07 21:31 · Answer 1 · 2009-09-07 21:31

Поскольку вы не указали аппаратное обеспечение и ОС, с которыми вы работаете, я дам вам общий совет - просто брандмауэр пакетов. Трафик для вас не имеет значения, так почему вы должны позволить ему загружать ваш веб-сервер? Вы не обязаны возвращать 404, и это не будет служить цели.

Из-за аналогичной проблемы я отправляю 404-ые по URL-адресу уже около 7 лет, и до сих пор получаю хиты. Не беспокойся

Если вы используете сервер на базе Linux, вы можете использовать для этого брандмауэр IPTables. Вы должны включить поддержку сопоставления строк (скорее всего, она уже включена, поэтому просто попробуйте) и использовать такие параметры, как приведенные ниже, чтобы сопоставить строку со всеми пакетами tcp с портом 80 в вашей входной цепочке:

iptables -I INPUT -p tcp --dport 80 -s 0.0.0.0/0 \
-m string –string "www.bankofamerica.com" –algo bm -j REJECT

Чтобы сообщить входящему трафику, что вы его не принимаете, я бы предложил использовать политику REJECT вместо DROP, поскольку REJECT отправляет обратно пакет с ошибкой.

KPWINC 07 сен '09 в 21:32 2009-09-07 21:32 · Answer 2 · 2009-09-07 21:32

Не по теме:

Я был бы почти склонен добавить страницу Google Adwords или каким-то образом перенаправить этот трафик. Посмотрите, не можете ли вы заработать несколько баксов.

Кроме того, вы сможете настроить свою систему так, чтобы она не регистрировала этот конкретный сайт / страницу. Если все остальное терпит неудачу, IPTABLES (предполагая, что Linux здесь), чтобы проверить строку, затем УДАЛИТЕ или ОТКЛЮЧИТЕ пакет.

Я также посмотрел бы, откуда приходит трафик, и посмотреть, смогу ли я что-то сделать, чтобы остановить его у источника.

hurikhan77 07 сен '09 в 21:24 2009-09-07 21:24 · Answer 3 · 2009-09-07 21:24

Вам следует настроить файл robots.txt, чтобы запретить индексирование всего каталога /vhost, чтобы он, вероятно, удалялся из индексов, следуя стандартам.

Кроме того, вы можете ответить с помощью HTTP 410 Gone header, см.: http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

Перенаправьте все запросы GET и POST на этот ответ с заголовком и не отправляйте больше контента.

Я почти уверен, что вы также можете отключить вход в систему на этом конкретном ресурсе и дать указание веб-серверу использовать ограничение пропускной способности / подключения для поддержания низкого уровня трафика.