Archief - blacklisten van een ip

Hoi iedereen,

Ik heb dagelijks tot 4 hack en spam aanvallen op één van mijn site's. De beveiliging op de website zelf werkt tot nu toe goed genoeg om deze aanvallen tegen te houden en mijn site van hackers te vrijwaren (voorlopig toch).

Het valt me wel op dat het telkens hetzelfde ip adres is. heb dit adres al kunnen traceren tot in canada... maar meer kan ik niet doen.

Heb via google al verschillende mogelijkheden zitten opzoeken om zulke ip's aan te geven, maar niets gevonden. Is er een plaats waar men zulke ip adressen kan opgeven, ik heb al eens gekeken bij spamcop, maar daar gaat het meer over e-mail adressen.

Weet iemand hier misschien een goed script of dergelijk om zulke ip adressen gewoonweg de toegang tot je domein te ontzeggen. misschien via de htacces of dergelijk?

welke beveiliging gebruiken jullie zoal om hackers tegen te houden?

thx

Meestal start ik via ARIN: WHOIS Database Search en sturen ze me via arin door Query the RIPE Database voor IP's uit deze regio. Als je daar IP searched, krijg je de ISP en een abuse mail adres.

Een IP blocker gebruik/doe ik zelden, freaking dynamische ip's >_>

Cyberkef zei:

Meestal start ik via ARIN: WHOIS Database Search en sturen ze me via arin door Query the RIPE Database voor IP's uit deze regio. Als je daar IP searched, krijg je de ISP en een abuse mail adres.

Een IP blocker gebruik/doe ik zelden, freaking dynamische ip's >_>

Klik om te vergroten...

Hoi Cyberkef, merci voor deze info!

Ik weet het van de dynamische ip's, maar het valt me op dat deze al 2 weken met hetzelfde ip zit te werken. (maar dat zal wellicht nog wel veranderen)

Simpelste lijkt mij dan gewoon om even een Deny te zetten op dat IP-adres in de .htaccess.

Als je zelf controle hebt over de apache -> mod_evasive
Brute force attack of DDoS kunt ge daarmee afweren. Die detecteerd het aantal connecties vanaf een bepaald IP binnen een bepaalde tijd. En als die waarde overschreden wordt dan wordt dat IP automatisch blacklisted.
Als die ook attacks plaatsen op ftp, mail, ssh,... blokkeert ze dan meteen in de firewall. Maar dat heb ik feite nog nooit nodig gehad. Mijn servers komen soms bijv op 100 000 attempts per dag op de ssh. Maar daar voelt ge niks van. En al helemaal niet als ge zoiets als denyhosts draaien hebt. Alleen nen deftige DDoS is de moeite waard om es een IP in de fw te steken.

Indien ge daar allemaal geen controle over hebt, dan idd .htaccess of gewoon rechtstreeks in php. Persoonlijk verkies is via php omdat ge dan gemakkelijker een lijst kunt aanleggen met geblockte IP's, referers, bots,...
Maar ook dat, op een enkele spider na die zich voor deed als een legitime bot maar dat niet was, nog nooit echt nodig gehad. Ik zweer bij mod_evasive voor website attacks en voor uw forms tegen spam te beschermen zijn er wel betere manieren dan een ip te blokkeren.

En ja, als het echt serieus is dan het abuse adres opzoeken en es een mailke met uw logs sturen. Vooral in de VS maken ze er tegenwoordig echt wel een punt van. Hoe licht het ook mag zijn, ge krijgt meestal wel een persoonlijk antwoord plus nog ne follow up als ze actie ondernomen hebben.
Ik heb onlangs voor ne klant nog zo'n mailtje gestuurd en quasi meteen antwoord en een paar uur later wisten ze mij te zeggen dat ze het getraced hadden tot een hotel en dat de eigenaar ingelicht was. Niet dat het iets uit maakte want dat is quasi anonieme toegang maar ze deden toch moeite. En het 2de IP van die DDoS was van ne gehackte server. Die admin, die niet op de hoogte was, heeft zich verontschuldigd voor de overlast en meteen de server van het net gehaald.