Компонент Редиректы как дыра на сайте

ЕСТЬ РЕШЕНИЕ ЗАКРЫТО InstantCMS 2.X
#1 29 декабря 2017 в 11:52
Казалось бы уже немало повидал, но тут столкнулся с тем, что Компонент Редиректы является дырой на сайте!
Теперь по порядку!
Недавно узнал, что спаммеры используют компонент для рассылки спама через редиректы, по совету были включены все галочки у компонета (особенно важно включить Проверять HTTP referer. Все включил на рабочих сайтах и сижу радуюсь и удивляюсь одновременно! Спам продолжает проходить но в меньших объемах.
ОКАЗЫВАЕТСЯ… он шел через тестовый сайт у которого даже домен не был делегирован!
Вот такой крутой компонент Редиректы!
Как нашли сайт с не делегированным доменом, не знаю! Тем более как к нему прицепились, но факт в том, что сразу после его удаления спам прекратился!
Вот с таким открытием и делюсь с сообществом!
#2 29 декабря 2017 в 11:59
Может будет не лишне решение от Sonat вот тут instantcms.ru/forum/thread28677-1.html
#3 29 декабря 2017 в 12:44

Может будет не лишне решение от Sonat вот тут instantcms.ru/forum/thread28677-1.html

garry
Если я верно понял, то такое решение времянка, раскопают что вместо GO надо TO и все пойдет по прежнему.
Поступил радикально, как вы и предлагали, пока компонент вырубил совсем. Посмотрю на результат.

Главное же мое удивление, так это то, что сайт даже ломать не надо, все готово для спаммера, только работай…
#4 29 декабря 2017 в 12:46

Главное же мое удивление, так это то, что сайт даже ломать не надо, все готово для спаммера, только работай...

vikont
Сейчас очень распространено, я буквально вчера с коллегами говорил, так на некоторых по клиентам под 400к редиректа прет.
#5 29 декабря 2017 в 12:51

vikont:
Главное же мое удивление, так это то, что сайт даже ломать не надо, все готово для спаммера, только работай...
Сейчас очень распространено, я буквально вчера с коллегами говорил, так на некоторых по клиентам под 400к редиректа прет.

garry
И как бороться с этими подонками? Предложенное тоже полумера.
#6 29 декабря 2017 в 12:54

И как бороться с этими подонками? Предложенное тоже полумера.

vikont
Можно наверняка как то все это отловить своим фаерволом и уже побанить для очистки трафа и логов.
Но если честно, я не вижу и не знаю никакого варианта убрать нагрузку не вырубив go. А в этом варианте только ждать когда бот поймет 403.
#7 29 декабря 2017 в 13:20
Суть в том, что если слегка накосячить с настройками при борьбе с этим делом, то в легкую можно получить ддос направив все эти запросы себе в обработку.
Может в итоге с обсуждением скажем в этой теме и появится решение, но пока кроме как направить в 403 и не получить на сервере кучу запросов я не знаю.
#8 29 декабря 2017 в 13:43

Если я верно понял, то такое решение времянка, раскопают что вместо GO надо TO и все пойдет по прежнему.

vikont
go на to это не решение что бы рубить,
это было предложено в дополнение, чтобы старые редиректы сайта продолжали работать,
в то время когда будет срабатывать серверное правило deny from all

Даже если в будущем "раскопают", без реферера они также будут рубаться и смысла их ставить не будет
#9 29 декабря 2017 в 13:47
Sonat, Я бы ваше решение в коробку включил, очень актуальное на сегодняшний день. Может на гите предложите?
#10 29 декабря 2017 в 13:56
garry, давайте его реализуем и проверим smileесли испытания пройдут успешно — предложим внедрить
#11 29 декабря 2017 в 14:00

давайте его реализуем и проверим если испытания пройдут успешно — предложим внедрить

Sonat
Резонно)
Но реализовать наверно можете в плагин вы(я очень слабый реализатор под icms), а проверять уже на всех у кого такая беда на инстанте. думаю вскоре у очень многих может появится, а кто то просто в логи не смотрит и удивляется почему же такая нагрузка пошла.

Хотя суть и механизм в принципе то ясен, значит работать должно.
#12 29 декабря 2017 в 14:03
На праздники можно будет покопаться в перерывах между салатами и салютами crazy
#13 29 декабря 2017 в 14:06

На праздники можно будет покопаться в перерывах между салатами и салютами

Sonat
Не, дружище, праздники должны быть праздниками, их все го то у нас и месяца не наберется за год. smile
#14 29 декабря 2017 в 15:45

Не, дружище, праздники должны быть праздниками, их все го то у нас и месяца не наберется за год.

garry
10 дней праздников еще надо как то пережить! smile
Поддерживаю решение Sonat совмещать полезное с приятным!
#15 29 декабря 2017 в 20:58
Генерировал бы компонент эти прокладки (to, go, spasibo, pnx...) слуйчайным образом самостоятельно (на крайняк, из заданного набора)…
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.