Знания, Новости

NV32ts и как с этим бороться ?

Такая история произошла. Есть сайты у меня использующие БД MySQL. И в один прекрасный день эта база слетела — ни с того, ни с сего. И не поднимается 8 часов подряд. В поддержку хостинга написал, и начал разбираться, смотреть логи … вообщем все упиралось в то, что кто-то с User-Agent : NV32ts , активно сканирует сайты (периодичность 1 запрос в секунду) на предмет наличия sql-инъекций. В Рунете описания как такового не было, в буржунете этого бота обнаружили недавно — бот с IP адресами из Колумбии сканирует все сайты на предмет sql-инъекций. если находит — отправляет владельцу. Что интересно — бот этот мочит sql очень сильно (ясное дело 1 запрос в секунду). Вообщем заблокировал я IP этого бота и блокировочку по user-agent’у поставил. Всё это дело пишется в .htaccess и кидается в корень сайта. Вот готовое решение :

RewriteEngine on
Options +FollowSymlinks
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^NV32ts
RewriteRule ^.*$ - [F]

order allow,deny
allow from all

deny from 190.140.49.2
deny from 189.104.221.97

это решение не окончательное, надо править httpd.conf и блокировать бота уже на уровне sql-запросов.

Ссылки по теме :
http://doc.emergingthreats.net/bin/view/Main/2009029
http://stackoverflow.com/questions/436715/what-is-nv32ts-and-its-sql-injection-attack-trying-to-do

Постовой : А ты участвуешь в конкурсе линкомаулия ?