Идентичный спам, поступающий из разных (но похожих) IP-адресов

Запущенный мной форум недавно стал жертвой спамовых учетных записей пользователей - несколько учетных записей, которые были зарегистрированы, и профиль заполнены рекламой /ссылками. Все это для той же компании или группы компаний.

Я удалил несколько учетных записей несколько недель назад и заблокировал некоторые IP-адреса, но сегодня они вернулись с тем же спамом. Каждая учетная запись имеет другой IP-адрес, но все они являются формой 122.179.*.* или 122.169.*.*

Я рассматриваю возможность блокировки этих двух диапазонов IP, но есть потенциально тысячи IP-адресов в этом диапазоне. Они, кажется, назначены в Индию (хотя спам для американской компании), поэтому, поскольку сайт предназначен для западной, англоязычной аудитории, возможно, это не имеет значения. Мои вопросы:

  1. Как они размещают на таком количестве IP-адресов?
  2. Вероятно, существует ограничение на количество IP-адресов, к которым у них есть доступ?
  3. Есть ли что-нибудь еще, что я могу сделать на уровне IP, чтобы заблокировать их? (Я рассматриваю другие меры, такие как блокирование имен пользователей /ссылок.)
5 голосов | спросил DisgruntledGoat 14 FriEurope/Moscow2012-12-14T20:20:20+04:00Europe/Moscow12bEurope/MoscowFri, 14 Dec 2012 20:20:20 +0400 2012, 20:20:20

6 ответов


3

1.

Они, кажется, поступают из DSL-соединения, поэтому после того, как они отправят сообщение, если они отключится от Интернета и снова подключится, они получат другой IP

2.

Да, есть предел, поэтому блокируйте только класс, в котором вы уверены, что у вас есть спам, чтобы ограничить «ложные срабатывания».

Используя Whois APNIC , мы можем видеть, что класс 122.179 разбит на:

122.179.0.0 - 122.179.127.255
122.179.128.0 - 122.179.191.255
122.179.192.0 - 122.179.255.255

и класс 122.169 широко распространен в:

122.169.0.0 - 122.169.7.255
122.169.8.0 - 122.169.11.255
122.169.12.0 - 122.169.13.255
122.169.14.0 - 122.169.14.255
122.169.15.0 - 122.169.15.255
...
122.169.112.0 - 122.169.127.255
122.169.128.0 - 122.169.191.255
122.169.192.0 - 122.169.192.255
...

3.

Поскольку ваша аудитория - это не Индия, а компания, с которой они рассылают спам, находится в США, они, вероятно, были наняты или переданы на аутсорсинг для рекламы, и они забрали ее слишком далеко.
Вы можете исследовать все блоки IP-пакетов, которые есть у их поставщиков, и запретить каждому из них (например, «BHARTI TELENET LTD.MUMBAI», «ABTS AP»).

Удачи!

ответил CSᵠ 26 WedEurope/Moscow2012-12-26T00:23:04+04:00Europe/Moscow12bEurope/MoscowWed, 26 Dec 2012 00:23:04 +0400 2012, 00:23:04
2

Вы пытались заблокировать диапазон IP-адресов через файл .htaccess?

Чтобы заблокировать несколько IP-адресов, перечислите их по одному в строке.

order allow,deny
deny from 177.0.0.1 
deny from 177.0.0.2
deny from 177.0.0.3
allow from all

Вы также можете заблокировать весь IP-блок /диапазон.

например. - deny from 177.0.0

Это отменит доступ для любого пользователя с адресом в диапазоне 177.0.0.0 до 177.0.0.255.

ответил 3 Jam1000000amThu, 03 Jan 2013 00:35:49 +040013 2013, 00:35:49
2

Stop Forum Spam - это ресурс, помогающий блокировать спам-форум. Его базу данных можно запросить вручную или API по IP-адресу, имени пользователя или адресу электронной почты. Для сайтов Simple Machines Forum (SMF) я использую , который запрашивает свою базу данных в качестве средства блокировки спамеров в форумах. Модули также доступны для многих других программных пакетов форума для автоматического запроса к своей базе данных; вы можете найти список других программ для форумов, для которых модули доступны в Mods & Плагины на сайте Stop Forum Spam.

Поиск по 122.169 и 122.179 на странице Stop Forum Spam страница поиска показывает, что другие форумы видят спамеров, использующих IP-адреса в этих диапазонах в настоящее время.

ответил MoonPoint 1 FebruaryEurope/MoscowbSun, 01 Feb 2015 02:10:27 +0300000000amSun, 01 Feb 2015 02:10:27 +030015 2015, 02:10:27
1

Мое предложение, так как я недавно рассматривал аналогичную проблему на моем форуме, - это изменить регистрацию, чтобы пользователь был принят администратором, прежде чем стать участником форума.

ответил PyroSamurai 26 WedEurope/Moscow2012-12-26T20:50:57+04:00Europe/Moscow12bEurope/MoscowWed, 26 Dec 2012 20:50:57 +0400 2012, 20:50:57
0

Независимо от того, что вы пытаетесь, различные устройства с различными IP-адресами всегда будут пытаться делать вредоносные вещи на веб-сайтах. Термин, действующий здесь, - это «детишки сценария».

Лучше всего сначала проверить свои журналы на сервере, на котором работает форум. Если программное обеспечение веб-сайта является apache, тогда найдите файлы access_log и error_log.

В этих файлах журналов вы, вероятно, заметите несколько десятков записей, связанных с тем же самым IP-адресом, который пытается подключиться к набору URL-адресов.

Есть несколько способов в основном избежать вашей проблемы.

  1. Перемещайте файлы, представляющие форум, и /или переименуйте их, и соответственно обновите сценарии и файлы конфигурации. Например, в настройке wordpress переименуйте wp-admin.php в worda.php и измените все wp-admin.php во всех файлах, которые являются частью wordpress для worda.php. Таким образом, сценарий kiddie, скорее всего, не попытается получить доступ к вашему скрипту, потому что вы использовали необычное имя и, вероятно, никогда не документировали.

ИЛИ.

  1. Настройте форум, чтобы пользователи вводили защитный код для регистрации или даже записи в качестве гостя.

Я против блокировки этих атакующих IP-адресов, потому что они могут быть IP-мишенями из числа хороших (и, возможно, желанных пользователей) и плохих пользователей. Например, IP-адрес подключен к маршрутизатору и к кучке компьютеров, и используется один компьютер делать вредоносные интернет-действия.

ответил Mike 13 MaramFri, 13 Mar 2015 00:43:05 +03002015-03-13T00:43:05+03:0012 2015, 00:43:05
-1

Использование моей базы данных:

Оба этих диапазона IP-адресов - это абонентские линии. Если вы можете позволить себе потерять этих пользователей, вы можете легко их заблокировать.

122.169.0.0:

Bharti Airtel Ltd.

Диапазон IP-адресов:

122.168.141.0 - 122.169.119.255

NetMask:

Block: 122.168.141.0/0
Base Address: 122.168.141.0
Broadcast Address: 255.255.255.255
Net Mask: 0.0.0.0
Host Mask: 255.255.255.255
Bits: 0
Size: 4294967296
2nd Element: 122.168.141.2
Block by IP Address Block

Apache .htaccess

RewriteCond %{REMOTE_ADDR} ^122\.(1*6*[8-9]*)\.(1*[45678901]*[1-9]*)\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

Cisco

access-list [your acl name] deny ip 122.168.141.0 255.255.255.255 any
permit ip any any

Nginx

Изменить nginx.conf и вставить include blockips.conf; если он не существует. Измените blockips.conf и добавьте следующее:

deny 122.168.141.0/0;

IIS

<rule name="abort ip address 122.169.0.0" stopProcessing="true">
 <match url=".*" />
  <conditions>
   <add input="{REMOTE_ADDR}" pattern="^122\.168\.141\..*$" />
  </conditions>
 <action type="AbortRequest" />
</rule>

122.179.0.0:

Bharti Airtel Ltd.

Диапазон IP-адресов:

122.176.0.0 - 122.179.156.255

NetMask:

Block: 122.176.0.0/0
Base Address: 122.176.0.0
Broadcast Address: 255.255.255.255
Net Mask: 0.0.0.0
Host Mask: 255.255.255.255
Bits: 0
Size: 4294967296
2nd Element: 122.176.0.2
Block by IP Address Block

Apache .htaccess

RewriteCond %{REMOTE_ADDR} ^122\.(1*7*[6-9]*)\.([0-1]*[0-5]*[0-6]*)\.([0-2]*[0-5]*[0-5]*)$ [NC]
RewriteRule .* - [F,L]

Cisco

access-list [your acl name] deny ip 122.176.0.0 255.255.255.255 any
permit ip any any

Nginx

Изменить nginx.conf и вставить include blockips.conf; если он не существует. Измените blockips.conf и добавьте следующее:

deny 122.176.0.0/0;

IIS

<rule name="abort ip address 122.179.0.0" stopProcessing="true">
 <match url=".*" />
  <conditions>
   <add input="{REMOTE_ADDR}" pattern="^122\.176\..*$" />
  </conditions>
 <action type="AbortRequest" />
</rule>
ответил closetnoc 11 MarpmWed, 11 Mar 2015 22:05:30 +03002015-03-11T22:05:30+03:0010 2015, 22:05:30

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132