您在這裡

我的主機開始被捲搗亂了

liaozi's 的頭像
liaozi 在 2007-05-31 (四) 08:41 發表

我的主機要設webform的module,用來方便應徵者做線上投履歷
從上禮拜開始,每隔一兩天都會收到有人來亂的訊息
內容諸如下所示

online valium
generic valium
.....

我有封IP,不過每隔一段時間又會有新的IP做相同的動作
目前已封的IP如下

74.123.92.162
71.60.164.126
122.16.231.38
220.225.87.44
71.230.203.44
72.204.76.26
203.146.102.4
200.117.62.193

這幾個IP我用whois查不到什麼東西,有些站甚至於用nmap還不給查

我想要知道這個crack怎麼會有那麼多台主機讓他做相同的攻擊動作,還是這些機器被綁架了!?

怎麼去預防,可能只能增加"輸入的麻煩度",最最最常見的就是輸入"驗證碼"。
一個很難用程式解讀的圖片,或是一個數學計算題.... 反正就是不能很容易就發表文章。
這樣可以阻止一些用電腦去跑出來的垃圾訊息....

回到第一篇的問題,曾經在一本書裡看到一個論點:「要當cracker的第一步,就是先讓別人抓不到自己。」
抓不到自己的第一步,當然是不能用IP來抓到自己囉~~
所以凡是網咖、未加密的無線網路、入侵別人的電腦當跳板......所以有很多很多IP是很正常的。

不過勒~~ 其實另一種方式不用那麼麻煩也可以有很多個IP。就是很多人在用的ADSL所使用的pppoe協定。
講原理會占很多篇幅,簡單來說,就是每次撥號都會得到不同的IP(當然也可能拿到同一組)。
但是ISP(也就是提供網路的公司)會對每一次撥號作記錄,所以雖然IP不同,還是抓得到是誰在哪個時候用這個IP。
真正的cracker是不會用這種方式的。
我一直認為,台灣這種pppoe盛行的地方,鎖IP是沒有用的。

回到垃圾文,如果是由"程式產生",因為程式通常只能作同樣的動作,所以可以防止。
如果對方不是程式,而是活生生的人,那這些手段就通通沒用... 因為你的網站分不出「好人」還是「壞人」。

我只是一個撰碼員,靠寫程式過活。
自從 Drupal 在 4.7 版的時候知道他的存在,但是後來跳去其它程式語言很久沒回來。
變成 D5 比較熟,D6 知道一點,D7 還在學的狀況…

TKY目前的站是用akismet 和spam兩個一起去擋垃圾。蠻有效的。
spam對付短時間大量張貼同樣訊息的垃圾機器人來說非常有效。

不過spam給TKY的捆擾就是,明明已經設定不要用email通知了,還是至少一天一信的寄過來。有時候碰到砍站似的機器人,一天可以收到幾十封。煩死了。

(Captcha的話,不曉得為什麼,不是很靈光,有時輸入正確答案卻無法發文。乾脆不用了。)

對付垃圾,建議雙管齊下,設定完幾天後自動刪除垃圾文章,就可以喝茶去對付活人垃圾了。

最麻煩的是,有時候似乎就是垃圾機器人+索引機器人一擁而上,搞到mysql連線數過多,網站就掛掉了。這個問題目前無解。

tky

tky