Bu tür saldırıyı nasıl engellerim ?

Selamün aleyküm arkadaşlar,

Siteme biraz güvenliksiz bir sunucuda barınıyordu. Çoğu firma "bizim sunucularımızda shell çalışmıyor" gibi idaalarda bulunuyorlardı. Öyle ki elle kendim attığım shell bile çalışıyordu.

Hostinge bir şekilde girilmiş ve içine mini bir botnet scripti gibi, yönetim paneli olan ve zombi bilgisayarların datalarının tutulduğu alt site açılmış. Farklı iplerden sürekli silmiş olduğum bu dosyalar isteniyor. Yani 10 farklı ip den veya daha fazla sürekli değişiyor, site.com/css/config.php, /css/config.bin gibi dosyalar çağırılıyor.

İlk olarak tüm siteyi sildim. Wordpressi tekrardan kurdum. Eklenti, tema veya hiçbir dosya eski dosyalar değil. Şunu tecrübe ettim ki, .htaccess dosyasını kapatınca yada silince normale dönüyor. Bu sefer de wordpress sef url çalışmıyor. Yani sayfalara link olarak gidemiyorum. Bu dosyalara erişen ip adrelerini cpanelden engelliyorum, ama 2-3 gün sonra yine baska ip lerden bu dosyalara istek geliyor ve bandwithim bir haftada 10 GB doluyor.

Birer dakika arayla bile değil sürekli ip adreleri dosya görüntülemeye çalısıyor. 404 hatası alsa bile sunucuyu yoruyor, bandwithi dolduruyor.

Sizce ne yapmalıyım ? Şuan sitem yeni hosting firmasında ama hala daha saldırı devam ediyor. İp üzerinden değil, domain üzerinden siteme saldırı alıyorum.

Tecrübeli arkadaşlardan yardım istiyorum. Bu durumu nasıl engellerim ?

Eğer htaccess dosyasına kod ekleniyorsa 444 izni vermeniz daha iyi olur.

644 şuan .htaccess dosyası. Cpanelden ipleri banlılar listesine ekleyince otomatik .htaccesse ekliyor. Baska da bir müdahale yok .htaccess dosyasına hocam.

Merhaba, madem hangi dosyaların sürekli çağırıldığını biliyorsunuz o zaman neden o dosyaların güvenliğini sağlamıyorsunuz? Dosya kontrolleri falan? Eskiden hack ile uğraşan biri olarak söyleyebileceğim şey, scriptinizin kurulu olduğu dizinin güvenliğini sağlarsanız şahsın yapabileceği en büyük şey dosyaya upload yapabilmek. Bence server güvenliğinizden çok ana dizin güvenliğini sağlayın. Bu daha mantıklı geldi bana. Beyin fırtınası yapabiliriz isterseniz.

Merhaba, dosyalar benim kullandığım dosyalar değil zaten. Daha sonradan eklenmiş klasör ve dosyalar. Tabi gördükten sonra tamamen sildim, ama hala var gibi arıyorlar ve ip leri engellemezsem cpu kullanımı %100 e çıkıyor, ve otomatik olarak suspend atıyor server.

Kısa süreliğine cloudflare kullansanız? Hani servera saldıran şahısların vazgeçeceği zamana kadar?

Cloudfare kullanmadım, pek bilgim yok hocam işe yarar mı ? İp banlamadan başka birşey yapamaz mıyım ?

http://www.sezaiacima.com/cloudflare-nedir-kurulumu/ burdan bakabilirsin

Cloudflare de işe yaramadı dünden beri hala aynı saldırı devam ediyor. Sürekli bandwithden yiyor ipleri banladığm halde. Başka bir fikri olan var mı arkadaşlar, ilk defa bu kadar mağdur oluyorum :(

Eğer adres belliyse yönlendirme yapabilirsiniz, misal: Google.
Bi ulaşın, beyin fırtınası yapalım.