lostyazilim

Saldırı engelleme Yöntemi.

5 Mesajlar 1.017 Okunma
lstbozum
wmaraci reklam

Korkmaz Korkmaz cagdaskorkmaz Kullanıcı
  • Üyelik 03.12.2014
  • Yaş/Cinsiyet 28 / E
  • Meslek SARUHAN HOLDING - Fakir Elektr
  • Konum İstanbul Avrupa
  • Ad Soyad Ç** K**
  • Mesajlar 3537
  • Beğeniler 253 / 1236
  • Ticaret 8, (%100)
Merhaba arkadaşlar siteme az önce saldırı atılmaya başladılar. Belli amatör biri yapıyor. Bende ip adrelerini banladım. Şuan sistem düzeldi. Sunucuda %100 cpu iznim var sup yeme riskim yok ancak siteyi boşa yormanın gereği yok diye ip adreslerini tespit ettim Cpanel den banladım.

Sizinde işinize yarayabilir.

$ip = $_SERVER['REMOTE_ADDR'];
if ( !file_exists("ip.txt")) {
touch("ip.txt");
$file = @fopen("ip.txt", "+r");
@fclose($file);
header( '*******: 1; url=/' );
} else {
$file = @fopen("ip.txt", "a");
$text = "-----------------------------". "\r\n" . "Tarih : " . date('d/m/Y - H:i') . "\r\n" . "IP Adresi :" . "\r\n" . $ip . "\r\n". "-----------------------------" . "\r\n";
@fwrite($file, $text);
@fclose($file);
}


Analiz nasıl yapılır. İlk önce sürekli giriş yapan ip adrelerini bir göz taraması ile süzün ve banlayın. Ardından ip.txt dosyasını silin ve tekrar gelen ip adreslerini süzün ve banlayın gene siliyoruz ip.txt dosyasını ve bu şekilde ip adresleri azaltıyoruz ve en sonunda saldırı bitiyor.

Alt taraftaki Bir anda düşüş yaşanan kısım ip adreslerinin banladığı andır. Sonraki yükselişin sebebi ip adreslerini cpanelden silmem ve tekrar analiz yapmamdan kaynaklanıyor.

 

 

cagdaskorkmaz.com.tr
wmaraci
reklam

Mrtcn Mrtcn PrismaCSI Kullanıcı
  • Üyelik 06.09.2013
  • Yaş/Cinsiyet 32 / E
  • Meslek Cyber Sec & Project Manager
  • Konum Ankara
  • Ad Soyad M** G**
  • Mesajlar 3356
  • Beğeniler 481 / 1987
  • Ticaret 10, (%100)
Wordpress Sitemde buna benzer bir kodlama ile 2 ay önce bende saldırı durdurdum ancak çözüm olmadığı için fiziksel koruma arkasına geçirdim siteyi

Bütçesi olmayanlar için güzel bir yöntem anlık saldırı alanlar için direk olarak iş görür.

Teşekkürler
 

 

Alicevat Alicevat Falanlar, Filanlar... Kullanıcı
  • Üyelik 27.04.2015
  • Yaş/Cinsiyet 40 / E
  • Meslek Yazılım Mühendisi
  • Konum İstanbul Anadolu
  • Ad Soyad A** Y**
  • Mesajlar 457
  • Beğeniler 43 / 202
  • Ticaret 1, (%100)
Selamlar.

Zahmet olmazsa bu konuyu daha detaylı açıklamanı rica edicem senden.

Öncelikle saldırının tipi neydi?
 

 

AkıllıSoft Yazılım & Bilişim Teknolojileri

cwt cwt Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 28.04.2014
  • Yaş/Cinsiyet 34 / E
  • Meslek ...
  • Konum Ankara
  • Ad Soyad S** A**
  • Mesajlar 1469
  • Beğeniler 384 / 373
  • Ticaret 20, (%100)
Server Error in '/' Application.
The remote server returned an error: (500) Internal Server Error.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.Net.WebException: The remote server returned an error: (500) Internal Server Error.

Source Error:

The source code that generated this unhandled exception can only be shown when compiled in debug mode. To enable this, please follow one of the below steps, then request the URL:

1. Add a "Debug=true" directive at the top of the file that generated the error. Example:

<%@ Page Language="C#" Debug="true" %>

or:

2) Add the following section to the configuration file of your application:







Note that this second technique will cause all files within a given application to be compiled in debug mode. The first technique will cause only that particular file to be compiled in debug mode.

Important: Running applications in debug mode does incur a memory/performance overhead. You should make sure that an application has debugging disabled before deploying into production scenario.

Stack Trace:


[WebException: The remote server returned an error: (500) Internal Server Error.]
System.Net.HttpWebRequest.GetResponse() +8548300
System.ServiceModel.Channels.HttpChannelRequest.WaitForReply(TimeSpan timeout) +234

[ProtocolException: The content type text/html; charset=utf-8 of the response message does not match the content type of the binding (text/xml; charset=utf-8). If using a custom encoder, be sure that the IsContentTypeSupported method is implemented properly. The first 1024 bytes of the response were: '


A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: SQL Network Interfaces, error: 26 - Error Locating Server/Instance Specified)