WINTXCODERS

Seguridad informática => Seguridad general => Mensaje iniciado por: Principe_Azul en Julio 11, 2015, 02:03:03 PM

Título: Bloqueos Masivos v0.1
Publicado por: Principe_Azul en Julio 11, 2015, 02:03:03 PM
Bloqueos Masivos v0.1


Hola Comunidad!! :) :)

Hoy vengo a traerles un excelente programa que he creado, el mismo sirve para checkear las IPs que conectan a nuestro Sitio web/Foro/Blog, etc.

La función de este programa es checkear todas las IPs que se encuentren en el archivo Log de Apache haciendo un DNS a cada IP que hizo la petición a nuestro sitio, el programa hará un DNS a la DNSBL sfs.dnsbl.st (http://sfs.dnsbl.st) para saber si esa IP que conectó a nuestro sitio, es un Bot/Proxy/Sock/Proxy web anónimo/IP de VPN Privada/IP de Dedicado, etc., por ejemplo en el caso de las VPN's Privadas y de las IPs de los Dedicados, muchas veces usan esas IPs para hacer ataques, enviar mails de spam masivamente, infectar máquinas, atacar con DDoS, o también pueden usarlas para una Página Online Anonymous Web Proxy, que muchas veces estas webs usan IPs de dedicados/VPN's para enmascarar a las IPs de las personas que usen el Servicio de anonimato.

Por esas razones, cargan las IPs en las Listas Negras, pero yo solamente uso la DNSBL sfs.dnsbl.st (http://sfs.dnsbl.st), porque es la mejor sin dudas.
sfs.dnsbl.st (http://sfs.dnsbl.st) es una API alternativa para su lista negra de IPs basada en DNSBL/RBL (http://en.wikipedia.org/wiki/DNSBL).

Voy explicar como utilizar este Excelente Programa que he creado, los pasos son:

Vas a tu Panel de Administración de tu Sitio web, que puede ser un Foro, blog, etc., descargás el Log de Apache (access_log).

Abrís el archivo Log de Apache y copias todo su contenido, si abrís el archivo desde el Bloc de notas, podés utilizar el atajo de teclado Ctrl + e, si lo abrís desde Notepad++, entónces presionás en tu teclado Ctrl + a para seleccionar todo el contenido, luego presionás Ctrl + c para copiar todas las peticiones que hicieron a tu Sitio/VPS, también podés hacer clic derecho y seleccionar la opción Copiar.

NOTA: Las peticiones deben estar en este formato:

187.178.28.67 - - [21/Dec/2014:23:27:41 -0300] "GET /Foro/index.php?topic=38.0 HTTP/1.1" 200 10485 "https://www.google.com/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"

siempre la IP en primer lugar y debe si o si ser numérica, en caso de ser un host, el programa lo informará y se detendrá.

Ahora lo que tienes que hacer es abrir el archivo access_log.log que se encuentra junto con el programa Bloqueos Masivos v0.1.exe y pegar todo el contenido que tenías copiado anteriormente, podés hacerlo presionando Ctrl + v.

Ya solamente queda ejecutar el programa Bloqueos Masivos v0.1.exe, cuando lo ejecutes el programa te mostrará en la pantalla esto (uso de ejemplo mi archivo Log):

(http://fotos.subefotos.com/79af388274bd6adfec0ce5fd256a87d8o.png)

Cuando el programa termine de checkear todo el Archivo Log de Apache, aparecerá esta imagen:

(http://fotos.subefotos.com/084089e81ba45d3cd3771b88d5d1200do.png)

Ahí te mostrará cuantos Bots maliciosos/Proxys/IPs usadas para enviar Spam masivo, etc. ha detectado y también te mostrará cuantas IPs están bien, osea que no están listada en la DNSBL.
Presionás ENTER para cerrar la consola.

Último paso, se creará un archivo en formato .html con una tabla que te mostrará todas las IPs que debés banear, simplemente debés copiarlas y pegarlas así tál cuál en tu archivo .htaccess que está dentro de tu directorio root:

/home/usuario/public_html/.htaccess

ó en

/home/usuario/htdocs/.htaccess

al final de tu archivo .htaccess debés poner por ejemplo así las IPs:

deny from 195.154.173.141
deny from 124.192.148.133
deny from 72.46.139.154
deny from 204.44.92.77
deny from 91.207.6.150
deny from 23.94.75.156
deny from 198.52.231.228
deny from 180.76.5.62
deny from 69.12.74.148

con eso ya estás baneando todas las IPs que el programa detectó, así que solo te queda, subir el archivo .htaccess a tu sitio y reemplazar el que tenías, solo debés agregar esas denegaciones al final de tu archivo, no tenés que borrar nada ni hacer nada más, solamente pegas esas denegaciones al final del archivo y esas IPs nunca más volverán ni siquiera a conectar a tu Sitio/VPS.

El programa creará un archivo HTML por primera vez con el nombre Bots detectados.html y dentro de él verás esto por ejemplo:

(http://fotos.subefotos.com/8a295dd510b79f0de5c57c973dee7503o.png)

Un consejo muy importante: Cuando seleccionés la tabla que contiene los deny from con las IPs, para copiar solamente el contenido de la tabla, debés mantener presionada la tecla Ctrl y hacer un clic izquierdo dentro de la tabla y ahí quedará seleccionado todo el contenido de la misma y listo para copiar.

Eso es todo, quiero comentar que yo he checkeado mi Log de Apache con 13.602 IPs y el programa detectó 248 Bots, el checkeo solo duró unos minutos.

NOTA: Este programa tiene una gran ventaja, y es que en la página Bots detectados.html además de que te mostrará el resultado del checkeo, y además de que te creará la tabla para banear a los bots maliciosos, también podrás hacer un clic primario sobre alguna IP que deseas ver porque está listada en Stop Forum Spam (http://stopforumspam.com/) y también verás las cantidad de veces que figura en la base de datos de Stop Forum Spam (http://stopforumspam.com/), además podrás observar los nombres de usuario, mails y la fecha que se registró ese bot.

Por ejemplo esta IP 91.207.6.150 si miramos aquí: http://stopforumspam.com/ipcheck/91.207.6.150 nos dice....:

91.207.6.150 aparece en nuestra base de datos 3508 veces
Actual país de origen: (http://stopforumspam.com/img/flags/ua.png) Ucrania

como ven... apareche 3508 veces... así que podrán darse cuenta de la efectividad del programa que he creado, por supuesto que esa IP es solo un ejemplo, habrán otras que no estarán tantas veces, como habrán otras que estarán mucho más veces.

Por último quiero aclarar, que algunas IPs no están listadas en Stop Forum Spam (http://stopforumspam.com/) porque seguramente, en la DNSBL sfs.dnsbl.st (http://sfs.dnsbl.st) todavía no fueron removidas esas IPs, pero esto pasa con muy pocas IPs, así que no hay drama.

Espero que les haya gustado el programa y que les pueda servir de mucha ayuda.

Aquí dejo el checkeo que hice a mi Foro:

http://www.argentinairc.net/Bots%20detectados.html

Descarga: http://www52.zippyshare.com/v/0y59nvSo/file.html

(https://i.creativecommons.org/l/by-nc-nd/4.0/88x31.png) (http://creativecommons.org/licenses/by-nc-nd/4.0/)
Bloqueos Masivos v0.1 por Daniel Delgado (http://www.argentinairc.net/Foro) se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivar 4.0 Internacional (http://creativecommons.org/licenses/by-nc-nd/4.0/).
Basada en una obra en http://www.argentinairc.net/Foro/index.php?topic=298.0.


Saludos y espero comentarios!!!
Título: Re:Bloqueos Masivos v0.1
Publicado por: WIитX en Julio 12, 2015, 12:57:07 AM
Muchos usuarios de este foro estaban buscando algo como esto. Yo os invoco usuarios  ;D

Gracias muy bueno
Título: Re:Bloqueos Masivos v0.1
Publicado por: #i[J]0SEE en Julio 12, 2015, 01:09:17 AM
Estoy seguro que lo probaré, post muy currados y de gran nivel.
Título: Re:Bloqueos Masivos v0.1
Publicado por: Principe_Azul en Julio 12, 2015, 03:55:30 AM
Me alegro mucho que les guste!!!  ;D ;D y además que les sea de utilidad.
Realmente para mí la mejor DNSBL que he usado para este programa es sfs.dnsbl.st y la web Stop Forum Spam, he probado otras DNSBL, como por ejemplo httpbl, pero nada que ver... es mucha la diferencia, la DNSBL de Stop Forum Spam es excelente, en el día ya hay reportes de sitios webs que informan automáticamente si algunos bots se registraron en su sitio, lo informan y lo cargan en el acto de forma automática utilizando la API de Stop Forum Spam.

Gracias amigos, valoro su apoyo!!!

Saludos!!!