CGI PROXY

Обсуждение распределенного бан-листа
Ответить
sashenka
Сообщения: 9
Зарегистрирован: Пт сен 07, 2007 9:55

CGI PROXY

Сообщение sashenka »

Есть сайты cgi proxy, есть задача их перекрыть.
Заметил что у многих проксей интерфейс один и тотже -> в одной системе крутятся, только адреса меняются.

пример
1. elcamp.eu
2. TubeInSpace.com; NewsPass.info; MorePress.info; HiddenExpress.com; HotExpress.info;

и др.
на domainsdb.net они не определяются как 1 хостинг -> система респределенная.
Я баню к примеру TubeInSpace.com - а на след день наблюдаю в топе загрузок именно его.

Вопрос - как с ними боротся?

Rus
Сообщения: 112
Зарегистрирован: Пт ноя 18, 2005 13:44

Re: CGI PROXY

Сообщение Rus »

sashenka писал(а):Вопрос - как с ними боротся?
Только руками.
Режик их "типовые" запросы не увидит т.к. они передаются методом POST.
Вообще в борьбе с плохими пользователями эффективно помогает только административный ресурс!
http://rejik.ru/forum/viewtopic.php?t=301&highlight=

sashenka
Сообщения: 9
Зарегистрирован: Пт сен 07, 2007 9:55

Сообщение sashenka »

а как с такими боротся
www.byelarus.com:443; 194.67.57.143:443

- судя по количеству мегабайт выкачанных с этого сайта - точно прокси
подскажите как такие забанить? - у них и доменного имени толком нету.

на сквиде:
acl Safe_ports port 80 21 443 563 8008
http_access deny !Safe_ports

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Сообщение Slava »

Добавьте в urls "byelarus.com:443"
sashenka писал(а):а как с такими боротся
www.byelarus.com:443; 194.67.57.143:443

- судя по количеству мегабайт выкачанных с этого сайта - точно прокси
подскажите как такие забанить? - у них и доменного имени толком нету.

на сквиде:
acl Safe_ports port 80 21 443 563 8008
http_access deny !Safe_ports

sashenka
Сообщения: 9
Зарегистрирован: Пт сен 07, 2007 9:55

Сообщение sashenka »

Есть рац предложение
Ввести правило PCRE для слова proxy - т.к. через поиск выдает очень много ссылок на прокси листы - некоторая часть адресов напрямую содержит слова Proxy

Также заметил есть некоторые сайты которые представляют собой необычные webproxy - если смотреть по статистике SARG - получается что на таких адресах трафик в районе 100Кб не более - я пологаю что они используют другие прокси для получения страницы - хотя сам пользователь сидит именно через этот прокси - пример
anonymizer.nntime.com

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Сообщение Slava »

sashenka писал(а):Есть рац предложение
Ввести правило PCRE для слова proxy - т.к. через поиск выдает очень много ссылок на прокси листы - некоторая часть адресов напрямую содержит слова Proxy
Я не сторонник таких простых правил, опыт показывает, что они дают ложные сработки. Вы можите добавить их в свой собственный лист(Ваш локальный файл) и понаблюдать, к чему может привести.
sashenka писал(а): Также заметил есть некоторые сайты которые представляют собой необычные webproxy - если смотреть по статистике SARG - получается что на таких адресах трафик в районе 100Кб не более - я пологаю что они используют другие прокси для получения страницы - хотя сам пользователь сидит именно через этот прокси - пример
anonymizer.nntime.com
Проследите по логам, с какого именно сайта идет закачка и заблокируйте.

sashenka
Сообщения: 9
Зарегистрирован: Пт сен 07, 2007 9:55

Сообщение sashenka »

Пользователь сидит на сайте anonymizer.nntime.com (скачано 75кб)
, а скачивание идет с других веб прокси www.greenstay.org cornproxy.com - я 2 последних баню - а всё что делает пользователь - это жмет кнопку обновить и дальше сидит сам сайт anonymizer.nntime.com подставляет нужные прокси
(цепочка как я понимаю)

а проблема вся в том что этот anonymizer.nntime.com в конце списка и далеко не очевидно что на нем сидит пользователь
(то что сидит на нем подсмотрел через плечо )

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Сообщение Slava »

Включите в сквиде referer лог, он позволит определить, с какого на какой сайт переходил пользователь.
sashenka писал(а):Пользователь сидит на сайте anonymizer.nntime.com (скачано 75кб)
, а скачивание идет с других веб прокси www.greenstay.org cornproxy.com - я 2 последних баню - а всё что делает пользователь - это жмет кнопку обновить и дальше сидит сам сайт anonymizer.nntime.com подставляет нужные прокси
(цепочка как я понимаю)

а проблема вся в том что этот anonymizer.nntime.com в конце списка и далеко не очевидно что на нем сидит пользователь
(то что сидит на нем подсмотрел через плечо )

n1_111
Сообщения: 1
Зарегистрирован: Вт фев 26, 2008 6:58

Сообщение n1_111 »

На кого ты работаеш парниша?

sashenka писал(а):а как с такими боротся
www.byelarus.com:443; 194.67.57.143:443

- судя по количеству мегабайт выкачанных с этого сайта - точно прокси
подскажите как такие забанить? - у них и доменного имени толком нету.

на сквиде:
acl Safe_ports port 80 21 443 563 8008
http_access deny !Safe_ports

Ответить