Ataque masivo de "invitados" phpBB (post largo)

t0m|ta · #1 (**permalink**) 18/02/2005, 13:02

Hola :)

Este post es una petición de socorro/aviso a usuarios de phpBB

Durante los últimos días, los foros de phpBB están sufriendo un "ataque masivo de invitados", un foro que normalmente no tiene más de 10-20 usarios concurrentes, se encuentra de repente con 500-700 usuarios "guests".

Los foros de phpBB están llenos de gente quejándose del tema, pero de momento los de phpBB ni caso tio picaso.

Parece ser que hay dos tipos de "ataque":

- Uno provocado por un tal pepotamo que se dedica spamear registrarse y spamear los foros que permiten postear a los invitados.

- Si no dejas postear a los invitados, no postean pero ahí se quedan dando vueltas por los foros, provocando 600- 700 usuarios invitados concurrentes de forma más o menos permanente.

No sé si los dos ataques provienen del mismo sitio, porque los invitados que no postean, no se registran, en cambio los posteadores si que lo hacen siempre que pueden.

Ambos ataques tienen en común que utilizan cientos de ip's completamente diferentes (hasta 300 ip's distintas).

Tampoco atacan cualquier foro, sino a los grandes, tengo 4 foros phpBB en 2 dominios distintos y sólo el grande de tomatoma está siendo atacado de esta manera.

A phpbb-es les están friendo, y se están quedando "out of memory" cada 5 minutos, no sé cuanta cancha les dará su hosting. A mi me han cerrado los foros hoy a las 6 de la mañana porque les tiraba el servidor cada 5 minutos. Es un hosting compartido y no está prepararado para semejante avalancha.

Le he pedido a theKuka de phpbb-es que me pase la lista de ip's la próxima vez que aparezcan, lamentablemente yo no puedo acceder a las mías.

Bueno aquí queda esta sábana como aviso a usuarios de phpBB y por si a alguien se le ocurre alguna posible solución.

Saludos

ferny · #2 (**permalink**) 18/02/2005, 16:04

Gracias por el aviso, si puedes dar todos los datos que estén a tu alcance serán bienvenidos. Habría que estudiar cómo actua ese robot para ver si tiene algún punto débil. Yo por suerte no lo he vivido y espero no hacerlo... También vi que a Google lo atacaron, me salió un error muy extraño (el que tienes puesto en tu web), no sé si será por lo mismo... Además ultimamente, desde hace un par de semanas, el ordenador de mi hermana se desconecta así como así sin previo aviso, tampoco sé si tendrá algo que ver con esto...

Si acaso preguntaré a alguien por si sabe algo.

Saludos y suerte con tu sitio

nmott · #3 (**permalink**) 18/02/2005, 17:38

Gracias por el aviso,he llegado aquí por casualidad tras el enlace los restos de tomatoma.ws, y resulta que es un ataque a phpbb.

De momento me libro porque no he pasado de 12 usuarios al a limón, pero nunca se sabe. Voy a hacer ahora mismo una copia de seguridad que no tocaba hasta fin de mes y de paso habilito eso de la confirmación visual que parece que funciona.

Siento lo de web, solía echar de vez en cuando el rato por allá, no desepereís que todo tiene remedio, unos cuantos juramentos y haber si se lo lleva el hipoaullido huracanado a freir gargaras.

animo

marcelovx · #4 (**permalink**) 18/02/2005, 21:16

Santi.A

probablemente se trate de este robot o gusano

lo utiliza Google para detectar las webs vulnerables.

es un nivel de riesgo máximo, que requiere la actualización de todos los portales basados en una versión de phpBB anterior a 2.0.10.

solucion

actualiza phpBB en la brebedad

t0m|ta · #5 (**permalink**) 18/02/2005, 21:24

Hola, mañana cuando este más despierta intentaré dar más datos. Santi no puede ser, tenemos la 2.11

futilidad · #6 (**permalink**) 19/02/2005, 00:40

Es que Santi no ataca por version de phpbb sino atraves de google busca sitios con la cadena viewtopic.php

Mas info:
http://hosting.lomejordeinternet.net...b&submit=Busca

Como solucionar esto mediante caracteristicas de apache:
http://www.phpbb.com/phpBB/viewtopic...r=asc&start=60

Espero les sirva

Salu2

ferny · #7 (**permalink**) 19/02/2005, 03:48

Gracias por esa solución con htaccess, voy a implementarla en mi sitio por seguridad

También recomiendan desactivar la posibilidad de envío de posts a usuarios no registrados, y la de prohibir los nombres de usuario que empiecen por pepotamo, es decir en el panel de control creais una regla para que no se registren los usuarios pepotamo*

PacoNaranjo · #8 (**permalink**) 19/02/2005, 06:54

Muchas gracias a todos por vuestra aportaciones, me han sido de gran ayuda, esto puede llegar a ser un gran problema, pero parece que tiene solución.

ferny · #9 (**permalink**) 19/02/2005, 07:01

Sólo quiero añadir que la solución del .htaccess parece que funciona, lo he implementado y efectivamente corta el acceso cuando en la URL existe la cadena highlight=%2527 (muestra en ese caso un error de forbidden). No he podido probar si corta el acceso cuando el user agent empieza por lwp pq no sé ahora cómo probarlo... Espero que con eso estemos algo más seguros.

A las dos recomendaciones que os hice antes, añado la de que habilitéis la confirmación visual al registrarse en los foros, si disponéis de ella (se necesita un server que soporte las librerías de imágenes de php, y tener la versión 2.0.11 de phpBB). Lo haceis desde el panel de control, en la configuración general del foro.

Por cierto el código del .htaccess que usé era este, el que sale en 2ª opción en esa pagina:

RewriteEngine On
RewriteCond %{QUERY_STRING} ^.*highlight=\%2527 [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp [NC]
RewriteRule ^.*$ - [F]

t0m|ta · #10 (**permalink**) 19/02/2005, 08:14

En nuestro caso, ha sido el propio hosting quien lo ha arreglado. Y no parecen haberlo hecho vía .httaccess

Francamente no sé que han hecho están un poco mudos, en cuanto me entere de algo lo posteo.

Gracias :)

nmott · #11 (**permalink**) 19/02/2005, 08:28

¿Puede ser la versión del php del hosting?

Y ahora lo que han hecho es actualizarla??

t0m|ta · #12 (**permalink**) 19/02/2005, 08:53

No creo, eso lo comprobamos cuando salió el santi este y teníamos el php actualizado. No sé lo que han hecho. A mi me da que cuando el server se empezó a caer una y otra vez se pusieron un poco histéricos. me cerraron la página. Y no me dijeron nada, cuando protesté, me dijeron que tenía un "huge amount of traffic".

Empecé a mirar y vi muchos usuarios con el mismo problema, así que escribí a mi hosting y les expliqué lo que estaba pasando pero que no podía ver nada si no me dejaban acceder ni a la web ni al panel de control. Así que me dejaron entrar (con pass) y confirmé lo que ocurría. A lo largo de la noche, le han quitado el password y la página vuelve a estar online, pero a mí no me han dicho ni mu. Así que estoy en blanco, no sé qué han hecho

t0m|ta · #13 (**permalink**) 19/02/2005, 22:07

ferny para ver si funciona la prohibición del agente, espera unos días y miralo en las estadísticas, en las que tengo yo salen los agentes que han venido. Una solución drástica temporal, es ponerle password por httacess al foro, al cabo de un par de horas, se aburren y se van

Teniendo la 2.11, el php actualizado y el attachment mod deshabilitado (que menudos quebraderos de cabeza nos está dando eso) pensaba que estábamos seguros pero parece que no es así.

De todas maneras son muchos ataques contra phpBB en muy pocos días, esto empieza a oler a chamusquina.

ferny · #14 (**permalink**) 20/02/2005, 04:33

Estoy ahora viendo las estadísiticas de webalizer de mi foro y no aparece ningún user agent sospechoso, asi que de momento me he librado. Por si las moscas sigo con esas medidas de seguridad...
Gracias y un saludo

t0m|ta · #15 (**permalink**) 20/02/2005, 05:36

Te aparecen viagras y cosas por el estilo? http://www.kuro5hin.org/print/2005/2/14/02558/3376 (en inglés)

En uno de los enlaces que dan ahí, mencionan verio, como una de las redes a través de las que llegan estos ataques masivos. Y efectivamente en más de uno de los tracerts que hice a las ips que llegaban salía VERIO.

Curiosamente, poco antes de producirse este ataque, había cambiado el .htaccess para largar a unos cuantos spam referers.

Cita:

Which brings me to the second thing. THIS IS NOT A HOBBY. If you want to be an anti-spam advocate, if you want to write software or maintain a list or provide a service that identifies spam or blocks spam or targets spam in any way, you will be attacked. You will be attacked by professionals who have more money than you, more resources than you, better programmers than you, and no scruples at all. They want to make money, this is how they have decided to make money, they really can make a lot of money, and you're getting in their way.

¿venganza?

No sé pero es una gaita

ferny · #16 (**permalink**) 20/02/2005, 06:12

¿Puedes pasarme el contenido completo del .htaccess que estes usando para verlo e implementarlo en mi sitio?

Por cierto, esa cita que escribiste me la pasaría yo por...

Ni caso.

t0m|ta · #17 (**permalink**) 20/02/2005, 08:06

Pues yo he puesto el que recomienda futilidad unos posts más arriba

Código:

RewriteEngine On 
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:[email protected] [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR] 
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR] 
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR] 
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR] 
RewriteCond %{HTTP_USER_AGENT} FrontPage [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR] 
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR] 
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR] 
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR] 
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR] 
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Irvine [OR] 
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR] 
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR] 
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR] 
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR] 
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR] 
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR] 
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR] 
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR] 
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR] 
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent access from santy webworm a-e 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR] 
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

´
A este habrá que añadirle los spammers, pero no sé como integrarlo

Código:

RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)chat-nett(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)adult(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)anal(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)psxtreme(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)crescentarian(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)yelucie(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)freakycheats(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)poker(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)terashells(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)mature(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)nude(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)porn(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)pus*y(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)sex(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)teen(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)tits(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*accepted.cc$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*episodesusdbz/.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?advancedmoneyloans.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?affiliplanet.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?apart-?design.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?auktion.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?autogewinne24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?autospiele24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?babay.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?euromillionen.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?eurowins.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?gsm-support.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?gzltax.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?qw8.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?geldspiele24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?goovle.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?heil-fasten.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?immobiliengewinne24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?incest-.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?keywordmaster.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?one2onemag.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?reisegewinne24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?rootfood.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?shemale.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?single66.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?slamhost.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?spielepsychatrie.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?superface.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?topgewinn24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?topspiele24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?transexual.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?usa-wins.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?vendini.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?webmasterplan.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?wseeker.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?xmaster.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?referrer-script.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?freakycheats.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?psxtreme.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://www14\.blogspot.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?yahh+oo.*$
RewriteRule .* - [F,L]

ferny · #18 (**permalink**) 20/02/2005, 08:44

Yo creo que quedaría así, una vez integrado lo de los spammer:

Código:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:[email protected] [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR] 
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR] 
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR] 
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR] 
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR] 
RewriteCond %{HTTP_USER_AGENT} FrontPage [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR] 
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR] 
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR] 
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR] 
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR] 
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Irvine [OR] 
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR] 
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR] 
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR] 
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR] 
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR] 
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR] 
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR] 
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR] 
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR] 
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR] 
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR] 
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR] 
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR] 
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR] 
RewriteCond %{HTTP_USER_AGENT} ^Zeus 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent access from santy webworm a-e 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR] 
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# Putos spammer
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)chat-nett(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)adult(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)anal(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)psxtreme(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)crescentarian(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)yelucie(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)freakycheats(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)poker(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)terashells(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)mature(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)nude(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)porn(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)pus*y(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)sex(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)teen(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)tits(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*accepted.cc$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*episodesusdbz/.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?advancedmoneyloans.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?affiliplanet.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?apart-?design.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?auktion.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?autogewinne24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?autospiele24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?babay.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?euromillionen.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?eurowins.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?gsm-support.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?gzltax.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?qw8.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?geldspiele24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?goovle.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?heil-fasten.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?immobiliengewinne24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?incest-.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?keywordmaster.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?one2onemag.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?reisegewinne24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?rootfood.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?shemale.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?single66.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?slamhost.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?spielepsychatrie.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?superface.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?topgewinn24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?topspiele24.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?transexual.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?usa-wins.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?vendini.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?webmasterplan.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?wseeker.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?xmaster.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?referrer-script.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?freakycheats.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?psxtreme.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://www14\.blogspot.*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?yahh+oo.*$
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Luego si van apareciendo más será cuestión de ir añadiéndolos en nuevas lineas

speckados · #19 (**permalink**) 21/02/2005, 03:46

Generalmente estos individuos utilizan un listado de proxies anonimos, para hacer sus envios masivos de spam, de tal forma que por IP no puedes denuncirales, pero...

Si en el mnsaje dejan una direccion URL si puedes denunicarles al responsable de la red (Whois de la IP) indicandole el tipo de spam que esta haciendo.

t0m|ta · #20 (**permalink**) 22/02/2005, 17:38

Buena idea. El problema es que si les denuncias, van a por ti en masa

pereztroff · #21 (**permalink**) 23/02/2005, 11:41

yo no tengo enemigos........... y un tal pepepotamo1985 empezo a postear spam sobre contenidos sexuales y sin estar registrado. ¿que ahcer aparte de tener actualizado la version phpbb?

saludos.

ferny · #22 (**permalink**) 23/02/2005, 15:24

Fijate en mis post que escribí antes, ahí recomiendo unas cuantas cosas:

- Prohibir los nombres de usuario pepotamo*
- Deshabilitar el envio de post para los usuarios invitados
- Habilitar la confirmación visual al registrarse
- Utilizar un .htaccess en caso de que tu server vaya con apache y tengas el mod rewrite

t0m|ta · #23 (**permalink**) 02/03/2005, 14:43

No tiene nada que ver, pero ya que la cosa va de ataques, actualizad a la 2.13 ya, es crítico.

kctus · #24 (**permalink**) 04/03/2005, 14:18

em.. a mi me paso lo de los invitados 'a lo bestia' y viendo la ip, me salia no se que cosa de google... El problema es que no se borraban las sesiones de la tabla 'sessions', por lo que se prohibía la entrada a nuevos usuarios. Las tuve que borrar a mano. Esto me paso dos días y después ya no ha vuelto a ocurrir... y no he actualizado ni nada de nada.. (debería, ya lo sé...)

y leyendo lo anterior, os quería preguntar, para que sirve exactamente todo eso que tenéis en el .htaccess?

muchas gracias

ferny · #25 (**permalink**) 04/03/2005, 14:49

Pues te comento parte por parte lo que hace el .htaccess

---
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
....
RewriteCond %{HTTP_USER_AGENT} ^Zeus
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
---

Esto bloquea todos los user agent que ponen ahí. Un user agent es el identicador del navegador o programa que visita la página. Por ejemplo si usas IE, su user agent es Internet Explorer o lo que sea, pero no es "peligroso". Los que aparecen ahí sí son peligrosos, supongo que serán programas automáticos para meter spam a saco.

---
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
---

Eso evita accesos del virus Santy

---
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
---

Esto soluciona un bug que tienen las versiones de phpbb inferiores a la 4.3.10 o las versiones 5.0.0/5.0.1/5.0.2

---
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
---

Más sobre el Santy, en este caso es para prohibir el acceso desde un user agent que utiliza el Santy para molestar.

Eso sí para que funcione tienes que tener el mod rewrite en tu foro

t0m|ta · #26 (**permalink**) 04/03/2005, 17:53

muy ilustrativo este post ferny, por fin me entero de algo

ThE KuKa · #27 (**permalink**) 06/03/2005, 08:24

Interesante todo el topic, mas que interesante

Bezerik · #28 (**permalink**) 08/03/2005, 04:29

impresionante todo lo que ha ocurrido,

en definitiva, como andan las cosas exactamente ahora¿¿¿????

xavi