• User Attivo

    Ultimatum 3 giorni: bloccare mangiabanda e connessioni

    Come posso bloccare gli spider mangiabanda e connessioni?
    Il mio server mi ha dato un ultimatum:

    *We regret to say that database is currently consuming excessive resources on our servers which causes our server to degrade its performance affecting all other customers database driven sites that are hosted on this server. The database/tables/queries statistical information's are provided below:

    AVG Queries / logged / killed
    79500/ 0/ 0

    There are several reasons where the queries gets increased. Unused plugins will increase the number of queries. If the plugins are not causing the issue, you can go ahead and block the IP addresses of the spammers which will optimize the queries. You can also look for any spam contents existed in the database and clear them up.

    You need to check for the top hitters in the Stats page. Depending upon the Bandwidth accessed, top hits and IP you need to take specific actions on them to optimize the database queries. you need to block the Unknown robot (identified by 'bot*'). Since these bots are scraping content from your website, spamming your Blog comment area, harvesting email addresses, sniffing for security holes in your scripts, trying to use your mail form scripts as relay to send spam email. .htaccess Editor is tool available to block the IP address.*

    Help!!!!!!!! :arrabbiato:


  • User Attivo

    Non sono un esperto, ma in attesa che ti rispondano anche altri ci provo io; il sito è sviluppato con Wordpress?


  • User Attivo

    Il sito è fatto 100% da noi in VB .NET su piattaforma Win. L'unico punto da cui ricevevamo SPAM era un form per i commenti che ora ha un captcha.

    Awstats ci dice per il mese di febbraio 2012:


    ROBOT E SPIDER

    Googlebot
    2572945+303 accessi
    5.35 GB

    Unknown robot (identified by 'bot')
    772520+2740 accessi
    259.55 GB
    *

    BaiDuSpider
    96639+95 accessi
    320.02 MB

    Google AdSense
    35907 accessi
    486.16 MB

    MJ12bot
    33567+1208 accessi
    844.52 MB

    Yandex bot
    18876+104 accessi
    433.84 MB

    [...]


    IP

    41.82.76.159
    11681 pagine
    12078 accessi
    581.68 MB

    87.1.153.254
    9807 pagine
    10734 accessi
    788.55 MB

    [...]

    Altri
    249561 pagine
    4055612 accessi
    59.29 GB


  • User Attivo

    Sempre da inesperto, te la butto lì: impedire almeno temporaneamente l'accesso ai motori di ricerca sconosciuti, nel frattempo sviluppare un sistema di cache per evitare eccessive chiamate al DB (sempre che non sia già sviluppato).


  • User Attivo

    Impedire come? Il file robots.txt in questo caso non mi sembra utile, i range di ip magari si ma non so come fare.

    Le chiamate al DB le ho già ridotte drasticamente ma è appunto una soluzione temporanea.


  • User Attivo

    Purtroppo non so risponderti, mi dispiace.


  • User Attivo

    Sono alla disperazione, trovo file modificati sul mio FTP, cosa posso fare? Temo che i miei dati siano stati corrotti e che l'eccesso di query sia interno.


  • User Attivo

    Da profano farei così:

    1. Cancellazione di tutti i file in remoto.
    2. Cambiamento di tutte le password (FTP, DB, username/password dell'applicazione se presenti).
    3. Reinstallazione della App (e verifica dei contenuti sul DB, sopratutto in caso di dati inseriti dagli utenti).

    Io non credo che saprei dire di più, ma magari ad altri lettori più esperti potrebbe essere utile conoscere l'URL oppure capire a grandi linee di cosa si parla (blog, portale, web-app, ...).


  • User Attivo

    Non posso cancellare tutto, ci metto 2 settimane a rimettere su i file, le password le ho già cambiate ma entrano lo stesso e riescono a mettere file nell'ftp. 😞

    Si tratta di attacchi generici che mirano a ottenere link/redirect e che spesso non funzionano (trovo global.asax modificato, default.aspx, ecc.). Sui file del database (una bella mole) ho poco controllo parliamo di un sito simile a questo come struttura (20.000 utenti su snitz forum, 5000 articoli, vari tool in VB .NET, ecc.).

    Il link non ho il permesso di notificarlo purtroppo.


  • User Attivo

    Hai un piano hosting normale, una vps o un server dedicato?Utilizza Plesk?


  • User Attivo

    Hosting normale. L'allarme è rientrato ma ora vorrei proteggermi, ecco cosa ho fatto:

    Controllare ed eliminare utenti mySQL sconosciuti - 1 UTENTE ELIMINATO
    Escapizzare tutti i request nelle query mySQL - FATTO (1500+ VULNERABILITA')
    Controllare ultimi iscritti (nick, mail e password) - NIENTE DI IRREGOLARE
    Controllare file uploadati irregolari - NESSUNO TRAMITE NOSTRI SISTEMI DI UPLOAD
    Eliminare file inutili online e offline - UNA DECINA NELLA ROOT
    Cambiare le password creando nuovi utenti mySQL - FATTO

    Per bloccare le SQL injection basta escapare, per il cross site scripting?


  • User Attivo

    Bisogna, secondo me, rivedere completamente il programma (script) e tappare le falle e gli errori di programmazione.


  • User Attivo

    Ok ma come si blocca il cross site scripting?