Autor | Zpráva | ||
---|---|---|---|
Martin Weis Profil |
#1 · Zasláno: 25. 3. 2019, 00:37:56
Kvůli početným útokům bootnetů na web který je na Wordpressu se vytěžuje procesor na serveru poskytovatele na 200 procent. Poskytovatel navrhoval abychom pomocí GEOIP v souboru htaccess zablokovali přístup s jiných zemí než je česká republika jelikož IP adresy se neustále měnily a vždy pocházely s cizích zemí.
Zkusil jsem tedy na začátek souboru htaccess vložit postupně 3 různé varianty viz níže avšak u všech byla výsledkem chyba 500 při pokusu otevřít web z počítačů v české republice. Je tam něco nesprávně? Děkuji za radu 1. varianta <ifModule mod_geoip.c> GeoIPEnable On # Put countries to allow here SetEnvIf GEOIP_COUNTRY_CODE CZ AllowCountry Deny from all Allow from env=AllowCountry </ifModule> 2. varianta <Limit GET HEAD POST> order allow,deny deny from .all allow from cz </LIMIT> 3. varianta: GeoIPEnable On SetEnvIf GEOIP_COUNTRY_CODE CZ AllowCountry Deny from all Allow from env=AllowCountry |
||
JakubHekal Profil |
Je nainstalován ten modul
mod_geoip.c
Jen myšlenka :-) briansnelson.com/How_to_block_or_allow_countries_using_GeoIP_and_.htaccess First you will want to to install GeoIP and mod_geoip |
||
Davex Profil |
#3 · Zasláno: 25. 3. 2019, 23:32:06
Martin Weis:
1) mod_geoip je zastaralý modul pro Apache 1.x, který už nemá 9 let podporu a nevydávají se aktualizace.
2) Pro Apache 2.2/2.4 určený modul mod_geoip2 je již také zastaralý a často jsou na webserverech neaktuální databáze IP adres.
3) Nejnovější je modul mod_maxminddb .
Každý modul se používá trochu jinak, a proto je potřeba si s webhostingem ujasnit, jak se má blokování nastavit. I když tvrzení „vytěžuje procesor na serveru poskytovatele na 200 procent“ nemůže být pravdivé, protože tohoto nelze fyzikálně nikdy dosáhnout. |
||
NoxOne Profil |
#4 · Zasláno: 26. 3. 2019, 17:17:05
Můžu vědět co je na mod_geoip a mod_geoip2 zastaralé ?
Nikde tu nic o zastaralé DB nepíšou www.maxmind.com |
||
Davex Profil |
#5 · Zasláno: 26. 3. 2019, 20:17:50
„GeoLite Legacy“ databáze, která byla dostupná zdarma, je naposledy aktualizována před rokem.
NoxOne: „Nikde tu nic o zastaralé DB nepíšou w>ww.maxmind.com“ Opravdu? 1) blog.maxmind.com/2018/01/02/discontinuation-of-the-geolite-legacy-databases 2) support.maxmind.com/geolite-legacy-discontinuation-notice |
||
NoxOne Profil |
#6 · Zasláno: 26. 3. 2019, 20:55:57
Musím oponovat. Píšou že DB geoiplite je mimo a geoiplite2 bude aktualizovaná pouze jednou za měsíc.
Ale psal jsem GeoIP a to běží dále .... je to ale komerční / placené. Je to jako všude ... něco se postaví na free modelu a když se získá dostatek uživatelů tak se to očeše a "plná verze" je pouze placená. Rozdíl mezi GeoIPlite/GeoIPlite2 a GeoIP. Také na serveru používám GeoIP a zatím pracuje jak má. |
||
Davex Profil |
#7 · Zasláno: 26. 3. 2019, 22:19:28
NoxOne:
„Ale psal jsem GeoIP a to běží dále .... je to ale komerční / placené.“ Možná sis to myslel, ale nepsal. „Také na serveru používám GeoIP a zatím pracuje jak má.“ Pokud to někdo opravdu potřebuje, tak je to v pořádku. Já psal o webhostingu, a tam se většinou z licenčních důvodů používá neplacená databáze. |
||
Martin Weis Profil |
#8 · Zasláno: 29. 3. 2019, 00:41:23
Jen doplňuji, hláška bývá: "Vaše doména překročila 200% limitu procesorového času" to chápu tak že nikoliv doména by vytěžovala CPU víc jak na 200 procent avšak pro každou doménu je nějaký vyhrazený čas CPU a tento limit je překračován a placený web kvůli tomu vypínán.
Jiný specialista webhostingu mi posléze odpověděl rozdílně a to tak, že modul pro blokování IP pomocí geoip najejich webserverech aktuálně nepodporují. Doporučil mi využít doplňky pro Wordpress viz wordpress.org/plugins/tags/geoip . Nicméně plugins ve výsledcích hledání umí detekovat zemi a případně podle toho měnit menu, či např. omezit psaní příspěvků nebo blokovat návštěvníky s Tor. Jakýkoliv tip na nějaký bezpečnostní plugin který bude zcela blokovat přístup dle zemí tedy uvítám. |
||
NoxOne Profil |
#9 · Zasláno: 29. 3. 2019, 01:23:40
To je problém hostingu. Máš zaplacenou doménu+hosting ale na 98% nic nemůžeš změnit na konfiguraci systému/apache/php atd.
Najít jiný hosting nebo místo hostingu pořídit VPS a nastavit si to dle libosti. Vím že třebas na CentOs7 už se to řeší rovnou blokací na firewallu dle databáze geoip ... je to i na GITu linoxide.com/linux-how-to/block-ips-countries-geoip-addons centos.pkgs.org/7/lux/xtables-addons-2.12-1.el7.lux.x86_64.rpm.html Právě tu řeším přechod VPS z centos 6 na centos7 a zvažuji jestli to nasadit rovnou na firewall nebo pomocí apache, asi otestuji kombinaci. :) |
||
Časová prodleva: 4 dny
|
|||
Martin Weis Profil |
#10 · Zasláno: 1. 4. 2019, 17:15:38
Zajímalo by mě zda by pomohla ochrana captcha kódem, zda pokusy o zalogování do login.php by v takovém případě mohli vytěžovat CPU i nadále, ať již zároveň i s pokusem bootneta o zadání captcha kódu (byť neúspěšného) či potvrzení přihlašovacích údajů bez předchozího vyplnění captcha kódu. Zatím jsem v jednání z jiným webhostingem kde GEOIP mód dle jejich info podporují.
|
||
Časová prodleva: 3 roky
|
0