[mod] Forum Firewall

[gemchug74]

В свете активизации ботнет сетей и взломов форума через иньекции думаю будет актульно , вопрос к сообществу ,кто-нибудь юзал сий мод ?

http://custom.simplemachines.org/mods/index.php?mod=2815

Если да ,то поделитесь впечатлениями .

[kak2z]

Только что почитал - толком не понял функции этого мода.. буду ставить на тестовый сейчас. Жаль руссика нет

[gemchug74]

Надо bugo хорошенько попросить насчёт руссика

Функции неплохие у мода

Некоторые функции в данной модификации:
Совместим с CloudFlare и других Proxys.
Log и/ или заблокировать нарушений.
DOS Защиты на низкую пропускную способность с остыть и уведомлений по электронной почте.
Admin Защита От Подделки.
Подмена IP-Адреса Защиты.
Порт Защита От Подделки.
Anti-spoofing кэш.
Cross Site Scripting (XSS) Защиты.
SQL-Инъекции Защиты.
Прокси Обход Профилактики.
Limited, Код Страны, Код блокировки.
Автоматическое сканирование файлов изображений.

[Bugo]

И как Bugo будет его тестировать? Устанавливать на рабочий форум как-то не хочется.

[gemchug74]

Я могу потестировать и описать результат

[Jacket]

Я его ставил, но ничерта не понял как пользоваться

[karavan]

А что он вообще даёт этот мод?

[kak2z]

А вот это мы и пытаемся узнать)

[karavan]

Ясно )

[remingtone]

с оглядкой на то, что ставиться он планировал без ошибок, я рискнул и поставил его, предварительно все забэкапив. 2 дня, полет нормальный, тормозов не замечено. интересные логи, видно кто и как обращался, кто что искал. настраивается довольно тонко, банит на заданное время балующихся нездоровыми запросами в адресной строке, проверяет ботов на строгое следование правилам robots. у кого из админов выделенный ip - позволяет заходить в админку только с этого ip. непонятно только, как очистить логи.

русифицировал под свои нужды. логи чистятся в диспетчере задач автоматом или по требованию
на нижнем скриншоте пример: кто-то взял привычку шариться по несуществующим адресам типа ...forum/index/login/index/index.php, а теперь не получится.

[Stern]

алгоритм определения попыток ДДОС-атак непонятен.
вот что в логах спустя 6 часов после установки

1    ххх.ххх.ххх.ххх    2011-10-13 01:53:41    GET /index.php?action=media;sa=media;in=15;preview;.jpg HTTP/1.0 Opera/9.80 (Windows NT 6.1; U; en) Presto/2.9.168 Version/11.51 http://h2h.su/Themes/default/aeva/player.swf    DOS Attack!
2    ххх.ххх.ххх.ххх    2011-10-13 01:53:41    GET /index.php?action=media;sa=media;in=15;preview HTTP/1.0 Opera/9.80 (Windows NT 6.1; U; en) Presto/2.9.168 Version/11.51 http://h2h.su/Themes/default/aeva/player.swf    DOS Attack!

[remingtone]

там же ж написано. на скриншоте: ддосом будет считаться запрос, получаемый чаще, чем один раз в 0.65 сек (можно уменьшить, увеличить). и + user-agent проверяется, но я пока сам не понял как, по-моему на известных ботов. даже если это не злоумышленник, а юзер случайно нажмет F5 дважды (с большой частотой), он будет отключен

[GeorG]

юзер случайно нажмет F5 дважды (с большой частотой), он будет отключен

Фигня какая-то, я сам по два раза всегда жму очистку кеша.

[remingtone]

чаще 1 раза в 0.65 сек?

[GeorG]

Ну бывает и прям два раза подряд, время точно меньше секунды, сколько там точно, я не засекал, да и не думал как-то об этом, тем более что за такое могу улететь в бан.

[remingtone]

ну напишите разработчикам или сами поправьте код, чтобы 2 раза не считались и отключение происходило только с 3 раза. кстати, там не бан, а просто страница с ошибкой. блокирование. а бан только за попытку sql-инъекции

[GeorG]

Да я не говорю что если например я буду использовать этот код, для меня в этом будет проблема, просто странно что как-то так вот сделали. Тем более если не бан, то можно ничего и не править (я чет подумал, там сразу, более радикальные меры).

[remingtone]

нет, все таки я ошибся. щас посмотрел

Проверять User-Agent
Проверка DOS-атак 
Белый список User-Agent 
Обрезка (#/сек) 
Длительность бана

это не за инъекцию, а за ддос. но можно бан отключить

[blackh]

Люди скажите на v 2.0  этот мод нормально встанет?

[remingtone]

Люди скажите на v 2.0  этот мод нормально встанет?

http://www.simplemachines.ru/index.php?topic=13398.msg103351#msg103351 первая строка сообщения

[blackh]

спасибо,суть зрима.
Руссика нет?

[remingtone]

официально нет. себе сам перевел для удобства

[Stern]

Люди скажите на v 2.0  этот мод нормально встанет?

устанавливается без проблем на 2.0, 2.0.1 и 1.1.15

[Stern]

Возник вопрос к ТС:
а вы никаких странностей у себя на сайте после установки мода не заметили?

P.S. можно в личку

[kak2z]

Зачем в личку? И мне интересно...

[remingtone]

+1

[kak2z]

Ребята, ну как? есть толк от мода? А то у меня все время форум сканируют, нагрузку создают.. уже достали, может этот мод поможет отсекать вредителей?

[remingtone]

да, но его надо тонко настроить под свои нужды. настройки по умолчанию мягко говоря не ахти

п.с. во вложении - что ищут
в ошибках сегодня нашел такую (в конце адреса): /%20ForceRecrawl:%200

[blackh]

Тестировал как-то данный мод.Для теста написал свою мини ddos программу.
Можно сказать что толку от этого мода практически нет.При ддос атаке  нагрузка на сервер с этим модом  будет еще больше.
Мод банит атакующие IP адресса и заносит их в логи,логи насколько известно в базе данных.
Вот теперь представьте что будет если в секунду будет около 100 попыток обращения к базе данных и попытке туда что-то записать.
Уменя за пару минут ддоса из-за этих логов  очень сильно выросла база и саит наглухо повис .

[Mavn]

для блока средних и слабых атак типа ddos лучше всего использовать серверное ПО типа CSF
он куда лучше будет справляться с этим делом ко всем прочему CSF блокирует подсети спамеров что также ограничивает поток спама так что если честно то я не вижу смысла в использовании этого мода если вы являетесь владельцем сервака или впс

[Stern]

Зачем в личку? И мне интересно...

и смех, и грех.
установка мода, видимо, совпала по времени с обновлением чего-то там на сервере - ВСЕ посты стали помечаться одним-единственным IP (догадайтесь - каким?)). Грешил, естественно, на мод. Потом всё само собой вернулось на круги своя, а панель управления на сервере засверкала новыми красками...

[elllene]

Могу точно сказать, что он не помогает. Что есть, что нет этого мода, он ничего не делает, только логи собирает, а ip с большим количеством запросов не блокирует.

А если включить уведомление на почту, так вообще всю почту засрал. Нет, чтобы что-то делать с досс-атакой, он сотню сообщений прислал, в течение 3 минут.

[elllene]

для блока средних и слабых атак типа ddos лучше всего использовать серверное ПО типа CSF
он куда лучше будет справляться с этим делом ко всем прочему CSF блокирует подсети спамеров что также ограничивает поток спама так что если честно то я не вижу смысла в использовании этого мода если вы являетесь владельцем сервака или впс

CSF сказали ставить не будут и вручную сами ip не станут.

А вы можете посоветовать что-то для хостера?

[elllene]

Добила я все же этот мод, отрегулировала все параметры и решила побаловаться, подоссить форум методом первоклассника ))))

В результате
Есть идеи, как себя разбанить? Доступа в админку нет.



Кстати, этот мод отлично помогает, надо его только правильно настроить.

[kak2z]

Добила я все же этот мод, отрегулировала все параметры и решила побаловаться, подоссить форум методом первоклассника ))))

В результате
Есть идеи, как себя разбанить? Доступа в админку нет.



Кстати, этот мод отлично помогает, надо его только правильно настроить.

зайдите через анонимайзер))

[elllene]

kak2z, это слишком просто, а есть другие методы?
например через БД, ip же должны хранится в базе данных, которые ушли в бан.

Черт, у меня же динамический ip, пойду перезагружу роутер.

В общем, рекомендую данный мод

Эти гады ночью вновь активизировались, а в 10 часов установила этот мод и график шел стабильный и ровный на cpu
В течении 5 часов он таким способом забанил 13 ip, а потом они перестали вообще.

Там где линия резко ушла вниз, случайно вывела форум в аут на 5 минут. Они сразу все ушли и через час вернулись.

[kak2z]

kak2z, это слишком просто, а есть другие методы?
например через БД, ip же должны хранится в базе данных, которые ушли в бан.

Черт, у меня же динамический ip, пойду перезагружу роутер.

В общем, рекомендую данный мод

Эти гады ночью вновь активизировались, а в 10 часов установила этот мод и график шел стабильный и ровный на cpu
В течении 5 часов он таким способом забанил 13 ip, а потом они перестали вообще.

поделитесь настройками которые выставили)

[elllene]

поделитесь настройками которые выставили)

при настройках, которые идут по умолчанию, ничего не работает, только логи забиваются,
а если поставить галочки, их становится меньше, видно после ошибки, доссер сразу уходит.



Метод первоклассника знаете как. Но лучшее проверять на анимайзере, а то блокирует хорошо.

[Yarik]

Ребят просветите в таком вопросе...Стоял этот мод,после его удаления заметил такое как установка мода.Но моды то стоят и работают....При установке и удалении мода ошибок небыло.Теперь что,их заново устанавливать?

[GeorG]

Такое бывало (уже сталкивался), когда нет прав на изменения файлов, а форум всё равно пытается их изменить. Что там конкретно происходит сказать не могу, вроде это из за файла installed.list. Почему то, в БД чистится поле install_state в таблице smf_log_packages. В общем в БД все моды отмечаются как удаленные. Восстановить можно если есть бекап таблицы smf_log_packages, ну или в ней искать закономерность и править вручную, я так и делал собственно.
Там вроде в поле member_removed и time_removed будет указан ноль (а должно быть указан ник того, кто произвел действие и время) и в тоже время в install_state будет стоять ноль, хотя должен быть установлен 1.

[Yarik]

Такое бывало (уже сталкивался), когда нет прав на изменения файлов, а форум всё равно пытается их изменить. Что там конкретно происходит сказать не могу, вроде это из за файла installed.list. Почему то, в БД чистится поле install_state в таблице smf_log_packages. В общем в БД все моды отмечаются как удаленные. Восстановить можно если есть бекап таблицы smf_log_packages, ну или в ней искать закономерность и править вручную, я так и делал собственно.
Там вроде в поле member_removed и time_removed будет указан ноль (а должно быть указан ник того, кто произвел действие и время) и в тоже время в install_state будет стоять ноль, хотя должен быть установлен 1.

Ага,ясно.Спасибо и +.Я в бекапе ковырялся уже,но в БД ещё нет.Попробую сейчас ковырнуть БД и посмотреть что к чему.Если что отпишусь.Бекап БД до установки этого мода есть точно.

[Yarik]

Там вроде в поле member_removed и time_removed будет указан ноль (а должно быть указан ник того, кто произвел действие и время) и в тоже время в install_state будет стоять ноль, хотя должен быть установлен 1.

Так оно и есть,все значения сохранены,а вот install_state везде на 0 сброшено.Буду пересматривать все моды по порядку и переписывать значение.Спасибо ещё раз.

[Digharatta]

Прекрасный мод, много лет пользуюсь и очень доволен.

В дополнение к нему рекомендую Bad Behavior того же разработчика:
http://www.simplemachines.org/community/index.php?topic=375980.0

[Yarik]

Скоро проверим как работает этот мод,в свете того что мне опять грозят ддосом.Включил защиту чисто от ддоса.