Spam อีกแล้ว ฝากผู้ให้บริการตรวจสอบด้วยครับ

Jimmy · August 22, 2006, 10:38am

ฝากผู้ให้บริการตรวจสอบด้วยครับ

ถ้าจะเขียน rule หรือ block มันก็สามารถทำได้ แต่ว่าถ้าแก้ไขไปที่ต้นตอได้ ก็น่าจะดีที่สุด

ขอบคุณครับ

PS: กำลังนั่งปรับ score เขียน spam rule ใหม่ๆ อยู่
เอ… ในนี้มีหมวดที่เป็นเกี่ยวกับ spam โดยเฉพาะหรือปล่าว?


Received: from msn682.com (unverified [202.28.78.67])

iLvBeginner · August 22, 2006, 11:10am

ของผมมันมาถล่มบอร์ดครับ

โดยการสร้างลิ้งค์ขึ้นมาโดยที่ไม่เคยซ้ำเดิมเลย

แล้วทุกครั้งที่เข้ามาโพสต์มันจะ proxy เข้ามาเพื่อให้ไม่เจอ IP จริง(จึงตามแบนไม่ถูกตัว)

ก็เลยวิ่งตาม แบน proxy ไปสักพัก

Jimmy · August 23, 2006, 5:30pm

ส่วนใหญ่พวกนี้จะเข้าไปถล่มในส่วนของ form ต่างๆ โดยเฉพาะอย่างยิ่ง form ที่ post แล้วข้อความบันทึกเก็บไว้แล้วสามารถดูได้ เช่นพวก guestbook ต่างๆ

จริงๆแล้วใช้เรื่องของการใส่รูปภาพให้แสดงเป็นตัวเลข หรือตัวอักษรให้ผู้ใช้กรอกเพิ่มอีกช่องก่อน submit นั้นเป็นวิธีของการป้องกันที่ดีที่สุดครับ แต่ว่าหากคุณเป็นผู้ให้บริการ คุณก็จะไม่สามารถไปบังคับให้ลูกค้าของคุณแก้ไขได้ทุกเว็บ ผมคิดว่าสามารถใช้ mod_security มาตรวจสอบและก็ block หรือ deny ในส่วนของโปรแกรมอัติโนมัติที่ใช้ submit ต้องบอกว่าโปรแกรมอัติโนมัติ เพราะว่าปัจจุบันเขาเขียนโปรแกรมมาเพื่อการนี้โดยเฉพาะครับ search หา url จาก search engine พอเจอเว็บใคร มันก็จะ post เข้ามาเลย

สำหรับ mod_security นั้นผมจะให้ดูตัวอย่างนะครับ

==0ff0ee59==============================
Request: x.com 61.x.157.46 - - [23/Aug/2006:10:29:08 +0700] “POST /x/x.php HTTP/1.1” 406 274 “-” “Mozilla/4.0 (compat
ible; MSIE 6.0; Windows NT 5.1; SV1)” - “-”

POST /x/x.php HTTP/1.1
Accept: /
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Connection: Keep-Alive
Content-Length: 42
Content-Type: application/x-www-form-urlencoded
Cookie: lang=thai
Host: www.x.com
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
x-flash-version: 8,0,24,0
mod_security-action: 406

42
sessdo=sessionstart&gamename=lightingbreak

จากตัวอย่างคุณเห็นสิ่งผิดปรกติบางอย่างไหมครับ

สำหรับตัวอย่างนี้มีการส่ง POST ข้อมูลไปยัง server แต่ว่าไม่มีส่วนของ REFERER

pizzaman911 · August 24, 2006, 12:43am

+1 ให้กับข้อเขียนดีๆ

mean · August 24, 2006, 3:09am

+1 ด้วยครับ
นี่กำลังเซงเลย โดน Spam อยู่

Thaipowerhost · August 24, 2006, 9:55am

ขอแนะนำ rules ของ mod_security ครับ ลองนำไปปรับแต่ง ดู
อัพเดท rules บ่อยมาก ครับ

http://www.gotroot.com/tiki-index.php?page=mod_security+rules

Gotroot.com modsecurity™ rules/signatures
Complete rulesets

All of the rules for Apache 2.x machines: (gzipped) (bzipped)
All of the rules for Apache 1.x machines: (gzipped) (bzipped)
Additional Rules for Windows based machines (apache 1 or 2)
Version and Release Date

20060815-01
20060815-01
20060731-01

Rule Files broken out individually

Web Application protection rules

Just In Time Patching rule for Vulnerable Applications

Bad UserAgents blocking rules

Comment spam blacklist

Compromised/Hacker boxes blacklist

Anti-Proxy scan rules

Additional Apache 2.x rules

Signatures to block known rootkits, worms, etc.

Exclusions for the Rules

“Google Hacks” signatures

Forums and Mailing Lists

system · May 16, 2016, 6:50am

Spam อีกแล้ว ฝากผู้ให้บริการตรวจสอบด้วยครับ

==0ff0ee59============================== Request: x.com 61.x.157.46 - - [23/Aug/2006:10:29:08 +0700] “POST /x/x.php HTTP/1.1” 406 274 “-” “Mozilla/4.0 (compat ible; MSIE 6.0; Windows NT 5.1; SV1)” - “-”

==0ff0ee59==============================
Request: x.com 61.x.157.46 - - [23/Aug/2006:10:29:08 +0700] “POST /x/x.php HTTP/1.1” 406 274 “-” “Mozilla/4.0 (compat
ible; MSIE 6.0; Windows NT 5.1; SV1)” - “-”