Как применить для борьбы с CGI Proxy Hijack

Как применить для борьбы с CGI Proxy Hijack

Недавний пост на SERoundtable вызвал много интересных мнений и публикаций. Многие вновь вспомнили о проблеме CGI Proxy Hijack, и далеко не все считают что Hijack умер. К тому же вновь ожила тема борьбы со спамом, таким как e-mail спам, спам в комментариях (ага) и тот же Hijack.

Один из самых интересных на мой взгляд постов на эту тему я нашел на блоге Hamlet Batista dot com.

Как работает антиспам?

Сегодня большинство интернет-провайдеров имеют в своем арсенале мощные фильтры спама на своих почтовых серверах, и мы получаем во много раз меньше почтового спама, чем если бы этих фильтров не было. Одна из популярных техник реализации такой защиты - блокировать вредителей по IP.

Пользователи могут сообщить о e-mail спаме в сервисы наподобие SpamCop, тогда сервис проверит адрес спамера и включит в общедоступный черный список. Исследователи анти-спам технологий публикуют в общедоступных местах (подписи на форумах, в блогах и прочее) специальные e-mail адреса-ловушки. Парсеры e-mail спамеров находят эти адреса (например по регулярному выражению *@*.*) и начинают рассылать на них свои письма про penis enlargement. Мыло-ловушка собирает базу IP серверов спамера и вносит в этот же blacklist. Так с мира по нитке собирается база адресов, с которых приходит спам.

Для большей эффективности базы данных черных списков реализованы как DNS сервера, также известные как DNSBL (DNS Black Lists). Пример таких серверов, часто используемых в антиспам программах, - это spamhouse. org и SURBL.

Для защиты от вредного трафика (спам в комментарии, в гостевые книги, в форумы и т. д.) разработаны специальные программные пакеты, которые используют блэклисты спамеров. Один из таких проектов - Project Honey Pot’s Http:BL.

Этот сервис включает все необходимое для самозащиты:

1. Http:BL (база данных DNSBL) - актуальная динамично развивающаяся база данных пользователей-вредителей.

2. Детектирующие модули и API (модуль для Apache, плагин для Wordpress и другие) - код, который проверяет каждого посетителя встречается ли его адрес в базе данных и блокирует нежелательный трафик на сайт.

3. Honeypot (горшок с медом, по-нашему солянка) - набор скриптов на PHP и ASP - для создания ловушек для e-mail спамеров, тех кто спамит в комментарии и многие другие функции.

Чтобы установить защиту, вам нужно просто зарегистрировать аккаунт, получить код доступа (по запросу) и установить себе плагин Wordpress или модуль для Apache. Тогда вы сможете например блокировать тех, кто спамит в комментарии.

Также Hamlet Batista советует установить тот самый Honeypot - это просто специальная страница с PHP скриптом, которую надо загрузить в корень сайта. После установки нужно открыть эту страницу в браузере и нажать на ссылку для активации сервиса. Затем нужно удостовериться, что мета-теги страницы Honeypot’а запрещают индексацию и загрузку для роботов. Также полезно поставить на эту страницу невидимые для простых пользователей ссылки (мы знаем целых 13 способов как это сделать) и на всякий случай запретить ее индексацию в robots. txt, тогда любой запросивший страницу IP можно классифицировать как вредителя.

Согласно API, сервис уже умеет определять поисковые системы, подозрительных роботов, e-mail парсеры и спамеров, которые суют свои ссылки куда попало. Причем в базе остается еще много мест под расширения, которые можно использовать например для борьбы с тем же CGI Proxy Hijack.

Каким образом можно определить CGI Proxy Hijack?

H. Batista предлагает такой способ защиты от взломщиков: на страницу Honeypot нужно поместить какой-нибудь оригинальный текст типа –Ghbv6dHVc№№”@78cdhnls”‘Ddlc7– и потом время от времени искать этот текст в основных поисковых системах. Поскольку эта страница закрыта для индексации на нашем сайте, текст может появиться только если хайджекер автоматически спер сайт целиком, что говорит об атаке. Тогда мы заносим зашифрованный IP адрес в базу спамеров в неиспользованный слот - все, спамер нервно курит и меняет IP.

Если прокси читает robots. txt (что логично реализовать в хай джек-скрипте, ведь ориентация идет на поисковый трафик), тогда спамеру при использовании этой техники ничего не грозит. В этом случае придется пользоваться более сложной техникой, которую предлагает This.

Видно, что проблема актуальна, поэтому думаю в ближайшее время должно выйти комплексное решение для борьбы с CGI Proxy Hijack. Может быть это будет очередной плагин или модуль к Апачу, но видно что разработка идет полным ходом. Посмотрим к чему это приведет.


Карта сайта


Информационный сайт Webavtocat.ru