On Thu, 11 Jul 2002, Andrew Stroganov wrote:
> привет всем! Сегодня утром в логах заметил странную картину, перебирают
> пароли, причем ip адрес меняется динамически. Это как так получается??
> Этот хитрец использует кучу проксей или есть все же способ говорить
> апачу с какого ip пришел запрос??
> Вот ниже привожу маленький кусочек лога.
>
> 200.24.218.103 - Michael [11/Jul/2002:07:57:15 +0200] "HEAD /members
> HTTP/1.0" 401 0 "; "Mozilla/4.73 (
> compatible; [en]; Windows NT4.0; DigiExt )"
> 200.24.218.103 - Michele [11/Jul/2002:07:57:15 +0200] "HEAD /members
> HTTP/1.0" 401 0 "; "Mozilla/4.0 (
> compatible; MSIE 4.0; Windows 98; DigiExt )"
> 200.14.253.226 - ypi4zjcc4 [11/Jul/2002:07:57:15 +0200] "HEAD /members
> HTTP/1.0" 401 0 "; "Mozilla/3.01 ( compatible;
> [fr]; Windows NT4.0; DigiExt )"
> 200.14.253.226 - Norriscyn [11/Jul/2002:07:57:15 +0200] "HEAD /members
> HTTP/1.0" 401 0 "; "Mozilla/4.72 (
> compatible; MSIE 5.5; Windows 95; DigiExt )"
> 200.199.55.66 - Hotto5 [11/Jul/2002:07:57:16 +0200] "HEAD /members HTTP/1.0"
> 401 0 "; "Mozilla/4.6 ( compatible; [en]; Windows
> 95; DigiExt )"
Подменить ip апачу нельзя. Что касается ip, то это может быть куча
проксей или куча ломанных тачек.
Конкретно этот подбор можно запретить так:
RewriteEngine on
RewriteCond %{THE_REQUEST} "^HEAD /members HTTP/1.0"
RewriteRule .* - [R=401]
или так:
RewriteRule .* - [F]
Здесь учитывается тот факт, что "HEAD /members HTTP/1.0"
никто из легальных пользователей делать не будет.
Игорь Сысоев
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
