Saldırı engelleme Yöntemi.

05.05.2015 18:45

Korkmaz cagdaskorkmaz Kullanıcı

Üyelik 03.12.2014
Yaş/Cinsiyet 28 / E
Meslek SARUHAN HOLDING - Fakir Elektr
Konum İstanbul Avrupa

Ad Soyad Ç** K**
Mesajlar 3537
Beğeniler 253 / 1236
Ticaret 8, (%100)

Merhaba arkadaşlar siteme az önce saldırı atılmaya başladılar. Belli amatör biri yapıyor. Bende ip adrelerini banladım. Şuan sistem düzeldi. Sunucuda %100 cpu iznim var sup yeme riskim yok ancak siteyi boşa yormanın gereği yok diye ip adreslerini tespit ettim Cpanel den banladım.

Sizinde işinize yarayabilir.

$ip = $_SERVER['REMOTE_ADDR'];

    if ( !file_exists("ip.txt")) {

        touch("ip.txt");

        $file = @fopen("ip.txt", "+r");

        @fclose($file);

        header( '*******: 1; url=/' );

        } else {

        $file = @fopen("ip.txt", "a");

        $text = "-----------------------------". "\r\n" . "Tarih : " . date('d/m/Y - H:i') . "\r\n" . "IP Adresi :" . "\r\n" . $ip . "\r\n". "-----------------------------" . "\r\n";

        @fwrite($file, $text);

        @fclose($file);

        }

Analiz nasıl yapılır. İlk önce sürekli giriş yapan ip adrelerini bir göz taraması ile süzün ve banlayın. Ardından ip.txt dosyasını silin ve tekrar gelen ip adreslerini süzün ve banlayın gene siliyoruz ip.txt dosyasını ve bu şekilde ip adresleri azaltıyoruz ve en sonunda saldırı bitiyor.

Alt taraftaki Bir anda düşüş yaşanan kısım ip adreslerinin banladığı andır. Sonraki yükselişin sebebi ip adreslerini cpanelden silmem ve tekrar analiz yapmamdan kaynaklanıyor.

cagdaskorkmaz.com.tr

05.05.2015 19:29

#2

Mrtcn PrismaCSI Kullanıcı

Üyelik 06.09.2013
Yaş/Cinsiyet 32 / E
Meslek Cyber Sec & Project Manager
Konum Ankara

Ad Soyad M** G**
Mesajlar 3356
Beğeniler 481 / 1987
Ticaret 10, (%100)

Wordpress Sitemde buna benzer bir kodlama ile 2 ay önce bende saldırı durdurdum ancak çözüm olmadığı için fiziksel koruma arkasına geçirdim siteyi

Bütçesi olmayanlar için güzel bir yöntem anlık saldırı alanlar için direk olarak iş görür.

Teşekkürler

13.05.2015 23:32

#3

Alicevat Falanlar, Filanlar... Kullanıcı

Üyelik 27.04.2015
Yaş/Cinsiyet 40 / E
Meslek Yazılım Mühendisi
Konum İstanbul Anadolu

Ad Soyad A** Y**
Mesajlar 457
Beğeniler 43 / 202
Ticaret 1, (%100)

Selamlar.

Zahmet olmazsa bu konuyu daha detaylı açıklamanı rica edicem senden.

Öncelikle saldırının tipi neydi?

AkıllıSoft Yazılım & Bilişim Teknolojileri

13.05.2015 23:50

#4

cwt Kimlik Onayı Bekliyor Banlı Kullanıcı

Üyelik 28.04.2014
Yaş/Cinsiyet 34 / E
Meslek ...
Konum Ankara

Ad Soyad S** A**
Mesajlar 1469
Beğeniler 384 / 373
Ticaret 20, (%100)

Server Error in '/' Application.

The remote server returned an error: (500) Internal Server Error.

Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.



Exception Details: System.Net.WebException: The remote server returned an error: (500) Internal Server Error.



Source Error:



The source code that generated this unhandled exception can only be shown when compiled in debug mode. To enable this, please follow one of the below steps, then request the URL:



1. Add a "Debug=true" directive at the top of the file that generated the error. Example:



  <%@ Page Language="C#" Debug="true" %>



or:



2) Add the following section to the configuration file of your application:





   

       

   





Note that this second technique will cause all files within a given application to be compiled in debug mode. The first technique will cause only that particular file to be compiled in debug mode.



Important: Running applications in debug mode does incur a memory/performance overhead. You should make sure that an application has debugging disabled before deploying into production scenario.



Stack Trace:





[WebException: The remote server returned an error: (500) Internal Server Error.]

   System.Net.HttpWebRequest.GetResponse() +8548300

   System.ServiceModel.Channels.HttpChannelRequest.WaitForReply(TimeSpan timeout) +234



[ProtocolException: The content type text/html; charset=utf-8 of the response message does not match the content type of the binding (text/xml; charset=utf-8). If using a custom encoder, be sure that the IsContentTypeSupported method is implemented properly. The first 1024 bytes of the response were: '



    

        A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: SQL Network Interfaces, error: 26 - Error Locating Server/Instance Specified)