corporate visual identity
the best strategies for creating a unique
+380(67)118 9721
itvsm@icloud.com
Minskaya, Kiev, st. Marshala Timoshenko, 19

evil bots / злобные боты

Защита сайта WordPress от попыток взлома, спама в комментариях, почтовых спам-сообщений и ловля «злобных» ботов. Черный список ботов-взломщиков. IP адреса.

Если графа from - пустая и количество писем от 20 до 100 за 1 минуту — значит вас пытаются взломать.

evil bots / злобные боты

ip адреса злобных ботов:

62.102.148.67
172.16.214.11
2.92.198.208
109.86.71.21
185.107.47.215
77.37.207.127
46.163.128.26
162.247.72.199
77.247.181.162
185.220.101.4
85.93.91.98
89.31.57.5
5.165.56.129
82.83.186.129
195.123.213.116
199.249.224.45
195.176.3.19
51.15.63.43
79.137.68.85
51.15.65.25
5.79.86.15
37.220.35.202
89.236.34.117
185.152.65.187
185.220.101.30
185.100.84.250
83.174.209.143
154.16.149.74
65.19.167.132
204.85.191.30
84.22.158.215
192.42.116.16
176.97.36.173
66.70.217.179
185.243.113.55
146.185.177.103
185.220.101.20
85.12.222.67
185.34.33.2
185.83.215.28
37.187.129.166
192.36.27.7
77.247.181.163
178.17.174.196
94.24.244.182
185.56.80.242
51.15.229.219
212.21.66.6
95.220.72.96
217.171.6.166
31.181.159.112
204.85.191.31
89.234.157.254
194.135.247.146
192.36.27.4
185.220.101.8
78.245.206.3
163.172.67.180
216.17.101.79
88.56.41.148
31.132.173.62
94.230.208.148
185.222.209.32
199.249.224.40
212.175.77.165
37.147.62.140
85.237.61.86
94.79.49.117
18.188.234.84
37.146.1.154
199.249.224.40
88.147.153.137
195.16.58.54
109.110.35.51
162.247.73.206
176.215.57.43
51.15.34.228
178.20.55.18
174.138.15.127
193.233.158.2
195.201.34.238
185.165.168.229
94.141.62.188
5.164.206.158
46.33.56.202
188.43.36.22
85.95.178.129
91.246.1.37
109.229.26.31
95.165.7.48
94.66.157.39
189.59.5.91
80.67.172.162
213.155.213.119
212.112.126.167
109.184.129.77
89.22.28.185
46.165.254.166
176.10.99.200
192.42.116.19
178.46.78.170
163.172.223.200
81.30.217.84
171.25.193.77
217.150.78.239
94.180.115.153
195.9.189.190
185.220.101.34
192.42.116.19
217.150.72.5
176.10.104.240
185.126.180.252
185.59.58.48
109.188.64.73
185.217.95.199
82.221.139.25
93.185.29.6
36.79.38.43
192.36.27.6
94.241.13.229
31.132.249.161
46.165.230.5
80.254.123.36
213.154.19.20
95.45.252.6
115.89.123.121
87.249.207.129
51.15.125.18
77.50.89.150
185.104.120.60
188.187.8.70
185.104.120.3
167.99.134.21
31.132.178.242
195.201.115.213
93.185.28.223
94.180.114.243
86.107.110.217
5.166.100.24
142.4.211.161
95.84.161.27
185.220.101.12
192.42.116.16
109.110.35.51
212.129.51.221
144.217.164.43
197.231.221.211
185.105.89.38
130.0.30.153
185.220.101.1
104.194.134.239
37.233.102.65
185.83.215.28
195.201.130.112
185.220.102.6
185.100.87.207
150.95.175.44
185.220.101.25
124.16.131.251
82.209.196.39
185.83.215.22
178.33.66.252
166.70.207.2
51.15.138.4
76.126.252.12
104.244.73.126
185.220.101.46
180.250.100.230
61.53.66.4
218.29.6.9
218.204.138.137
111.50.29.167
111.50.29.167
177.19.187.35
59.51.167.244
122.252.239.162
201.47.252.79
119.40.80.198
183.214.236.76
116.228.50.194
58.46.64.38
222.187.193.230
5.188.211.22
5.188.211.10
46.118.155.218
163.172.132.199
72.52.77.102
195.201.130.112
185.220.101.6
195.176.3.23
107.175.26.92
51.15.86.162
51.15.57.167
195.176.3.24
163.172.132.199
163.172.132.199
192.3.26.31
194.6.231.251
213.252.140.118
144.217.150.139
178.165.72.177
193.15.16.4
87.118.92.43
216.218.222.12
163.172.160.182
51.15.53.83
51.15.205.192
51.15.205.214
199.249.224.66
193.107.85.56
192.42.116.13
198.98.61.36
185.220.101.0
94.102.51.78
185.117.215.9
46.182.85.163
207.46.13.101
185.100.86.154
51.15.63.229
192.42.116.17
51.15.75.121
108.45.108.81
94.142.242.84
77.247.181.165
185.119.81.11
163.172.214.8
93.115.95.205
95.128.43.164
93.115.95.206
23.225.161.126
94.230.208.147
185.100.86.100
185.220.101.33
185.113.140.37
142.44.154.169
207.244.70.35
107.181.187.55
51.15.37.97
185.100.85.196
176.126.252.12
178.32.147.150
171.25.193.235
62.141.54.34
185.220.101.5
85.248.227.163
64.113.32.29
80.127.116.96
176.10.107.180
185.107.70.202
92.63.103.241
185.220.101.9
171.25.193.25
46.166.129.156
192.42.116.20
46.229.237.45
193.169.145.66
185.220.102.4
176.119.28.5
171.25.193.78
185.234.217.143
198.98.48.40
66.175.208.248
145.239.91.37
144.217.80.80
51.15.64.212
204.8.156.142
91.219.237.244
195.228.45.176
178.17.174.14
185.100.84.82
185.217.93.22
192.160.102.170
198.96.155.3
188.209.49.20
185.220.100.252
111.206.163.56
58.62.55.130
190.13.106.214
59.124.21.193
27.42.165.226
61.177.25.254
219.149.220.82
222.209.223.91
203.191.145.46
60.248.41.148
121.199.58.190
41.39.153.89
5.150.254.67
223.241.100.16
41.39.153.89
118.163.143.170
222.187.41.10
213.119.80.188
122.224.36.28
87.253.126.86
221.4.197.154
124.42.103.139
111.59.53.130
195.81.64.102
122.227.62.206
122.227.20.90
220.191.249.7
123.183.208.184
218.93.148.76
58.210.119.226
58.58.135.158
177.43.237.49
221.130.130.238
197.45.97.216
58.218.194.81
221.212.18.146
61.161.109.153
27.254.144.211
60.166.48.158
58.220.234.18
58.216.224.59
210.75.202.138
118.163.135.17
61.134.52.164
219.138.244.91
218.4.177.21
222.170.168.106
119.146.145.50
220.174.241.102
112.113.241.17
109.224.39.165
218.22.100.42
61.153.49.210
222.217.221.179
80.65.21.41
125.35.93.62
211.118.26.122
80.147.59.28
117.35.207.102
223.100.12.172
114.104.158.172
218.200.61.170
112.91.108.190
27.17.57.98
189.114.67.217
116.248.41.190
60.171.135.254
220.171.48.39
82.148.97.167
220.191.211.167
58.221.60.110
118.121.233.54
1.85.36.90
118.163.58.117
185.104.120.2
125.227.146.182
220.174.209.154
Представляются «злобные» боты как правило:

OS/browser - Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0


Как опознать «злобного» бота?
— по логам посещений в панели управления хостингом
лично я использую почтовую вставку — при посещении wp-login.php формируется письмо, сообщающее о попытке входа на сайт

Основным признаком «злобного» бота является прямое обращение по адресу: ваш.сайт/wp-login.php и громадное количество попыток входа ~ от 70 до 100 заходов за одну минуту!

Если логинится обычный юзер, то обращение к wp-login.php происходит с сайта (заглавной или любой страницы), бот же ломится на прямую «поїзд їде — воно лізе», т.е. заход присходит ниоткуда по конкретному адресу.

Атаки сайта ботами производятся как правило в выходные дни — субботу и воскресенье.
Наибольшее количество «злобных» ботов приходится на «Made in China»!

Если «злобные» боты родом из Америки, Англии или Европы, то их количество попыток ограничено 20-40 попытками в минуту и один раз. Если же это боты «Made in China», то держись.

Смысл атак сводится к перебору Логинов и Паролей, с целью проникнуть на сайт под админом.
Ниже привожу 1/5 писем об атаке за 26 мая.

Приведенный список ай-пи адресов можно смело добалять в черный список, тем самым количество спам сообщений значительно поредеет.

Консоль -> Настройки -> Настройки обсуждения -> Черный список

Все сообщения с данных адресов автоматом попадут в спам сообщения, вам останется только почистить спам.

А как быть в данном случае со «злобными» ботами и wp-login.php? Это конечно не DDoS атака, но так же не-камильфо.

Представьте себе:
Находитесь вы себе преспокойненько дома, а какой то «дятел» снаружи ковыряет замки отмычками. Представили? Ваша реакция? Так же и с сайтом. Лично мне не нужны «дятлы с отмычками Made in China».

Мой окончательный выбор свелся к полному ограничению доступа к wp-login.php
Вход только с определенных IP адресов.
Для этого вписываем в файл .htaccess следующие строки:

<Files wp-login.php>
Order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX
</Files>

где XXX.XXX.XXX.XXX — ваш IP, с которого вы модерируете свой ресурс. Можно вписать несколько адресов через пробел.
Можно конечно пойти от обратного, т.е. разрешить всем, а в список запрета внести указанные адреса, но тогда придется постоянно пополнять забаненный список и получится 1500-3000 адресов.

Отрицательным данного способа является невозможность кому либо кроме вас залогиниться или зарегистрироваться на сайте, но всегда есть выход — установить какой либо модуль сборки е-майлов для подписки на новости. Из личной практики — из 1500 зарегистрированных пользователей за год логинилось всего 15 человек. Смысл логиниться? Оставить комментарий? Ну так комментарии могут оставлять все, но только после модерации и не входящие в черный список.

Если вам интересно насколько часто ваш сайт пытаются взломать «дятлы с отмычками Made in China», то перед внесением изменений в .htaccess,
добавьте отправку на свой е-маил сообщений о попытках входа, т.е. обращений к wp-login.php
Как это сделать?
В директорию с вашей темой (в папочку, где находится functions.php) помещаем файл, назовем его к примеру mail_reg.php3 (.php3 — чтобы не путать с остальными *.php файлами)
Содержание файла:

<?php
if (isset ($HTTP_X_FORWARDED_FOR))
{
$host = getenv($REMOTE_ADDR);
}else{
//$host = gethostbyaddr($REMOTE_ADDR); }
//$host = getenv($REMOTE_ADDR);
}
$ip=getenv('REMOTE_ADDR');
$ag=getenv("HTTP_USER_AGENT");
$froms=getenv("HTTP_REFERER");
$hosts=getenv("REQUEST_URI");
$hou=date("H");
$date=date('d M Y, H:i:s', mktime($hou+2)); //для разных временных зон
$topic="$ip - REGISTER";
$email="yourname@gmail.com"; //указать свой е-маил
$from="REGISTER";
$msg = "user on REGISTER";
$msg .="time user guest - $date";
$msg .="from - $froms"; //откуда пришел посетитель
$msg .="IP-adress Users - $ip";
$msg .="OS/browser - $ag";
$msg .="open page - $hosts";
$topic=convert_cyr_string($topic,'w','k');
mail($email, $topic, $msg, $from);
?>

В строке $email="yourname@gmail.com"; производим замену на свой е-маил адрес

В файл functions.php дописываем следующее:

add_action('login_head', 'custom_login');
function custom_login() {
include "mail_reg.php3";
}

После внесения данных изменений к вам на почту начнут приходить сообщения кто, когда и откуда входил или пытался войти на ваш сайт. По количеству писем вы сразу определите — это «злобный бот» или добропорядочный юзер.

На ваш почтовый адрес поступит письмо следующего содержания:

user on REGISTER
time user guest - 26 May 2018, 15:46:33
from -
IP-adress Users - 189.114.67.217
OS/brouser - Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0
open page - /wp-login.php
Если графа from - пустая и количество писем от 20 до 100 за 1 минуту — значит вас пытаются взломать.

Понаблюдайте несколько недель за посещенииями wp-login.php
И если сообщений много и с соответствующими признаками — значит вносите изменения в .htaccess

С почтовым спамом вопрос приходится решать вручную (в плане создания своей формы отправки сообщений)
Contact Form 7 — один из популярных плагинов отправки сообщений, но несмотря на всю крутизну и навороченность имеет баги, которыми пользуются почтовые боты.
К данному плагину боты с тех же IP адресов обращаются напрямую, обходя запреты и в результате спам пролазит:
«отдых в геленжике, самый популярный в москве магазин adidas» и др.
В новой версии плагина сделана привязка к черному списку WordPress, возможность отправки сообщений только зарегистрированными пользователями. Но все это не оказывает сопротивления ботам.

Поэтому необходима простейшая форма, способная противостоять «ботам дятлам» и ручным «полудятлам», пытающимся отправить спам вручную.

Хотелось бы банить спамеров не в ручном режиме, а автоматом.

Логика спамера — отправить рекламные или другие левые линки.

Логика почтовой «программы»: определить наличие спама, IP адрес и мгновенно, без отсылки спам-сообщения, забанить «дятла».

Как это происходит на практике?
бот или спамер заполняет поля.
«Программа» проверяет поля на наличие спама, и в случае наличия такового, определяет IP адрес спамера, вносит в базу спамеров. Отсылки сообщения не происходит.
Спамер лишается доступа к форме контактов. Все действия происходят автоматически.

В реале любая форма контактов служит лишь для первичной связи. Дальнейшее общение с реальными клиентами происходит либо в живую, либо по телефону, либо посредством почтовых сервисов: Google, Ukr.net и др.

Ниже — образец подобной почтовой «программы». Желающие — могут попробовать:

Так же необходимо учитывать, что почтовые боты пишутся на очень распространенные плагины, для охвата максимальной аудитории.

На рисунке ниже показана логика «программы» фильтрации спам сообщений

фильтрация почтовых спам-сообщений с автоматическим баном IP адреса спамера

фильтрация почтовых спам-сообщений с автоматическим баном IP адреса спамера

Надеюсь данная статья поможет вам в защите своего сайта на базе WordPress и на базе других CMS. Различие только в структуре.

Черный список IP (боты взломщики, спам-боты):

172.16.214.11 2.92.198.208 109.86.71.21 185.107.47.215 77.37.207.127 46.163.128.26 162.247.72.199 77.247.181.162 185.220.101.4 85.93.91.98 89.31.57.5 5.165.56.129 82.83.186.129 195.123.213.116 199.249.224.45 195.176.3.19 51.15.63.43 79.137.68.85 51.15.65.25 5.79.86.15 37.220.35.202 89.236.34.117 185.152.65.187 185.220.101.30 185.100.84.250 83.174.209.143 154.16.149.74 65.19.167.132 204.85.191.30 84.22.158.215 192.42.116.16 176.97.36.173 66.70.217.179 185.243.113.55 146.185.177.103 185.220.101.20 85.12.222.67 185.34.33.2 185.83.215.28 37.187.129.166 192.36.27.7 77.247.181.163 178.17.174.196 94.24.244.182 185.56.80.242 51.15.229.219 212.21.66.6 95.220.72.96 217.171.6.166 31.181.159.112 204.85.191.31 89.234.157.254 194.135.247.146 192.36.27.4 185.220.101.8 78.245.206.3 163.172.67.180 216.17.101.79 88.56.41.148 31.132.173.62 94.230.208.148 185.222.209.32 199.249.224.40 212.175.77.165 37.147.62.140 85.237.61.86 94.79.49.117 18.188.234.84 37.146.1.154 199.249.224.40 88.147.153.137 195.16.58.54 109.110.35.51 162.247.73.206 176.215.57.43 51.15.34.228 178.20.55.18 174.138.15.127 193.233.158.2 195.201.34.238 185.165.168.229 94.141.62.188 5.164.206.158 46.33.56.202 188.43.36.22 85.95.178.129 91.246.1.37 109.229.26.31 95.165.7.48 94.66.157.39 189.59.5.91 80.67.172.162 213.155.213.119 212.112.126.167 109.184.129.77 89.22.28.185 46.165.254.166 176.10.99.200 192.42.116.19 178.46.78.170 163.172.223.200 81.30.217.84 171.25.193.77 217.150.78.239 94.180.115.153 195.9.189.190 185.220.101.34 192.42.116.19 217.150.72.5 176.10.104.240 185.126.180.252 185.59.58.48 109.188.64.73 185.217.95.199 82.221.139.25 93.185.29.6 36.79.38.43 192.36.27.6 94.241.13.229 31.132.249.161 46.165.230.5 80.254.123.36 213.154.19.20 95.45.252.6 115.89.123.121 87.249.207.129 51.15.125.18 77.50.89.150 185.104.120.60 188.187.8.70 185.104.120.3 167.99.134.21 31.132.178.242 195.201.115.213 93.185.28.223 94.180.114.243 86.107.110.217 5.166.100.24 142.4.211.161 95.84.161.27 185.220.101.12 192.42.116.16 109.110.35.51 212.129.51.221 144.217.164.43 197.231.221.211 185.105.89.38 130.0.30.153 185.220.101.1 104.194.134.239 37.233.102.65 185.83.215.28 195.201.130.112 185.220.102.6 185.100.87.207 150.95.175.44 185.220.101.25 124.16.131.251 82.209.196.39 185.83.215.22 178.33.66.252 166.70.207.2 51.15.138.4 76.126.252.12 104.244.73.126 185.220.101.46 180.250.100.230 61.53.66.4 218.29.6.9 218.204.138.137 111.50.29.167 111.50.29.167 177.19.187.35 59.51.167.244 122.252.239.162 201.47.252.79 119.40.80.198 183.214.236.76 116.228.50.194 58.46.64.38 222.187.193.230 5.188.211.22 5.188.211.10 46.118.155.218 163.172.132.199 72.52.77.102 195.201.130.112 185.220.101.6 195.176.3.23 107.175.26.92 51.15.86.162 51.15.57.167 195.176.3.24 163.172.132.199 163.172.132.199 192.3.26.31 194.6.231.251 213.252.140.118 144.217.150.139 178.165.72.177 193.15.16.4 87.118.92.43 216.218.222.12 163.172.160.182 51.15.53.83 51.15.205.192 51.15.205.214 199.249.224.66 193.107.85.56 192.42.116.13 198.98.61.36 185.220.101.0 94.102.51.78 185.117.215.9 46.182.85.163 207.46.13.101 185.100.86.154 51.15.63.229 192.42.116.17 51.15.75.121 108.45.108.81 94.142.242.84 77.247.181.165 185.119.81.11 163.172.214.8 93.115.95.205 95.128.43.164 93.115.95.206 23.225.161.126 94.230.208.147 185.100.86.100 185.220.101.33 185.113.140.37 142.44.154.169 207.244.70.35 107.181.187.55 51.15.37.97 185.100.85.196 176.126.252.12 178.32.147.150 171.25.193.235 62.141.54.34 185.220.101.5 85.248.227.163 64.113.32.29 80.127.116.96 176.10.107.180 185.107.70.202 92.63.103.241 185.220.101.9 171.25.193.25 46.166.129.156 192.42.116.20 46.229.237.45 193.169.145.66 185.220.102.4 176.119.28.5 171.25.193.78 185.234.217.143 198.98.48.40 66.175.208.248 145.239.91.37 144.217.80.80 51.15.64.212 204.8.156.142 91.219.237.244 195.228.45.176 178.17.174.14 185.100.84.82 185.217.93.22 192.160.102.170 198.96.155.3 188.209.49.20 185.220.100.252 111.206.163.56 58.62.55.130 190.13.106.214 59.124.21.193 27.42.165.226 61.177.25.254 219.149.220.82 222.209.223.91 203.191.145.46 60.248.41.148 121.199.58.190 41.39.153.89 5.150.254.67 223.241.100.16 41.39.153.89 118.163.143.170 222.187.41.10 213.119.80.188 122.224.36.28 87.253.126.86 221.4.197.154 124.42.103.139 111.59.53.130 195.81.64.102 122.227.62.206 122.227.20.90 220.191.249.7 123.183.208.184 218.93.148.76 58.210.119.226 58.58.135.158 177.43.237.49 221.130.130.238 197.45.97.216 58.218.194.81 221.212.18.146 61.161.109.153 27.254.144.211 60.166.48.158 58.220.234.18 58.216.224.59 210.75.202.138 118.163.135.17 61.134.52.164 219.138.244.91 218.4.177.21 222.170.168.106 119.146.145.50 220.174.241.102 112.113.241.17 109.224.39.165 218.22.100.42 61.153.49.210 222.217.221.179 80.65.21.41 125.35.93.62 211.118.26.122 80.147.59.28 117.35.207.102 223.100.12.172 114.104.158.172 218.200.61.170 112.91.108.190 27.17.57.98 189.114.67.217 116.248.41.190 60.171.135.254 220.171.48.39 82.148.97.167 220.191.211.167 58.221.60.110 118.121.233.54 1.85.36.90 118.163.58.117 185.104.120.2 125.227.146.182 220.174.209.154

Владимир Ив

Уникальное оформление
для вашего бизнеса
заказать


Elementary
Рубрика: Elementary | Метки: , , , ,

6 комментариев: evil bots / злобные боты

  • dev
    dev on 28.05.2018 в 19:47

    😛

    Ответить
  • dev
    dev on 28.05.2018 в 19:48

    Представляются «злобные» боты как правило:

    OS/browser — Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0

    Ответить
  • dev
    dev on 28.05.2018 в 19:48

    Если графа from — пустая и количество писем от 20 до 100 за 1 минуту — значит вас пытаются взломать.

    Ответить
  • itvsm
    itvsm on 28.05.2018 в 20:53

    Черный список IP адресов почтовых и логин-ботов

    Ответить
  • Vik on 15.06.2018 в 20:23

    Я попробовала отправить несколько адресов сайтов и теперь не вижу почтовой формы.
    Блокировка происходит получается только к форме контактов?

    Ответить
    • itvsm
      itvsm on 15.06.2018 в 21:35

      Да, блокировка только в форме контактов и добавление IP адреса в черный список WP.
      Я разблокировал ваш IP

      Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

smiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmiliessmilies

ID = 2742

https://itvsm.com/фирменный-стиль/evil-bots.html

Themes for Windows / Темы для Windows Desktop Gadgets / Гаджеты рабочего стола Desktop Sidebar / Боковая панель рабочего стола Icons / Иконки Wallpapers / Обои

ЗАКАЗАТЬ САЙТ ДЛЯ БИЗНЕСА

продуманность логики + эффективный дизайн

Заказать целевую продающую страницу - landing page, заказать сайт-визитку, заказать корпоративный сайт, заказать интернет магазин, заказать уникальный сайт, заказать сайт