# ufw status
Status: active
To Action From
-- ------ ----
Anywhere DENY 52.0.0.0/9
Anywhere DENY 3.16.0.0/13
Anywhere DENY 3.12.0.0/14
Anywhere DENY 18.192.0.0/10
Anywhere DENY 18.188.0.0/14
Anywhere DENY 3.128.0.0/9
Anywhere DENY 18.118.0.0/15
Valakinek van meg otlete, esetleg listaja, hogy milyen tartomanyok menjenek meg a levesbe? Persze en is ossze tudnam szedni a tegnapi-mai loggok alapjan, de vsz nem en vagyok az elso, aki... Koszi :)
Kicsit bovebben: ez a "claude" nevu AI(?) kitalalta, hogy biztos abbol fog tanulni hogy egy szem(!), egyebkent login-hez kotott oldalt nezeget, ugy napi ~millios nagysagrendben. Marmint oke, az tok megnyugtato, hogy itt tart ez az egesz technologia. Meg az is otletes, hogy a nem hasznalt cloud instance-okat befogjak ilyen crawling melokra. De akkor egyreszt csinalja ezt jol, masreszt meg azert megiscsak zavaro az egeszsegesnel nagyobb load es sok felhizott logfile... szoval igy marad a nevelesi celzatu deny, meg ezzel a nehany fentivel sikerult az eredeti nehany %-ara visszadobni a query-ket. Gyors rakeresessel csak annyit talaltam az alapproblemarol hogy "igen, ez a szar leszar minden robots.txt-t meg hasonlo celzast", de igy ennyi...
- 1176 megtekintés
Hozzászólások
0.0.0.0/0
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
- A hozzászóláshoz be kell jelentkezni
Ez passzol a VIM-es aláírásoddal? :)
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
fail2ban esetleg?
- A hozzászóláshoz be kell jelentkezni
Esetleg abuseipdb vagy valami más API-n keresztül?
Aktuális mimagyar listám:
185.223.7.19 #91|Hungary|Kapulan KFT.|Fixed Line ISP|
188.156.250.144 #93|Hungary|MT Broadband Dynamic KTV|Fixed Line ISP|
185.33.55.105 #94|Hungary|DotRoll Kft.|Data Center/Web Hosting/Transit|da05.dadmin.hu
89.251.34.89 #100|Hungary|Pick-Up Ltd.|Fixed Line ISP|
91.147.205.181 #100|Hungary|Porion-Digital Kft.|Fixed Line ISP|kabelnet-205-181.parisat.hu
85.67.98.102 #100|Hungary|DIGI Tavkozlesi es Szolgaltato Kft.|Unknown|85-67-98-102.pool.digikabel.hu
84.3.138.207 #100|Hungary|Magyar Telekom|Unknown|
94.199.52.140 #100|Hungary|23VNet Kft.|Data Center/Web Hosting/Transit|aow.hu
81.182.253.185 #100|Hungary|Magyar Telekom|Unknown|dsl51B6FDB9.fixip.t-online.hu
31.171.230.120 #100|Hungary|Pick-Up Ltd.|Fixed Line ISP|
185.33.55.104 #100|Hungary|DotRoll Kft.|Data Center/Web Hosting/Transit|da04.dadmin.hu
213.16.110.230 #100|Hungary|Invitech ICT Services Kft.|Fixed Line ISP|
91.219.239.166 #100|Hungary|ServerAstra Kft.|Data Center/Web Hosting/Transit|qeohmonlocbe-dedicated.serverastra.com
77.111.127.76 #100|Hungary|ACE Telecom Kft|Fixed Line ISP|web.dimnet.hu
212.193.31.78 #100|Hungary|Aeza Group LTD|Data Center/Web Hosting/Transit|imminent-fuel.aeza.network
45.9.168.211 #100|Hungary|Giganet Internet Szolgaltato Kft|Fixed Line ISP|
79.121.117.202 #100|Hungary|Tarr Kft.|Fixed Line ISP|h117-202.pool79-121.dyn.tolna.net
84.1.29.224 #100|Hungary|Magyar Telekom|Unknown|dsl54011DE0.fixip.t-online.hu
79.121.112.14 #100|Hungary|Tarr Kft.|Fixed Line ISP|h112-14.pool79-121.dyn.tolna.net
91.219.237.56 #100|Hungary|ServerAstra Kft.|Data Center/Web Hosting/Transit|qeohmonlocbe-dedicated.serverastra.com
Szerintem negyede internetre direkre kibaszott (ami magában hatalmas ötlet) és megtört NVR/kamera
Pl: https://www.shodan.io/host/79.121.117.202
BOA Web Server 0.94.14 - Access to arbitrary files as privileges
Title: Vulnerability in BOA Webserver 0.94.14
Date: 20-06-2017
Status: Vendor contacted, patch available
Scope: Arbitrary file access
Platforms: Unix
Author: Miguel Mendez Z
Vendor Homepage: http://www.boa.org
Version: Boa Webserver 0.94.14rc21
CVE: CVE-2017-9833
Vulnerability description
-------------------------
-We can read any file located on the server
The server allows the injection of "../.." using the FILECAMERA variable sent by GET to read files with root privileges. Without using access credentials
- A hozzászóláshoz be kell jelentkezni
Azért a Digipool-ban levő IP-t felvenni nem biztos, hogy jó ötlet.
85.67.98.102 #100|Hungary|DIGI Tavkozlesi es Szolgaltato Kft.|Unknown|85-67-98-102.pool.digikabel.hu- A hozzászóláshoz be kell jelentkezni
Ezeknek csak naplózva van a forgalmuk, mert mimagyarokat nem tiltunk.
De ez alapján 09.14. óta folymatosan nyomja a scant, így olyan gyakran nem változhatott az ip tulajdonosa.
(ez alapján meg még régebb óta, de az is lehet, hogy csak mindig széttákolt ügyfél kapta az ip-t :))
- A hozzászóláshoz be kell jelentkezni
Sajna a mai világban az IP szűrés mit sem ér, mert holnap másik tartományból támad ...
Én egyelőre User-Agent el szűrök:
Jó pár hónapja már ilyenek vannak a webszerverekben:
SetEnvIfNoCase User-Agent "ClaudeBot" bad_bot
SetEnvIfNoCase User-Agent "Amazonbot" bad_bot
SetEnvIfNoCase User-Agent "SemrushBot" bad_bot
<Directory /var/www/>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Directory>
Vagy még durvábban:
SetEnvIfNoCase User-Agent "ClaudeBot" bad_bot
SetEnvIfNoCase User-Agent "Amazonbot" bad_bot
SetEnvIfNoCase User-Agent "SemrushBot" bad_bot
<location />
<RequireAll>
Require all granted
Require not env bad_bot
</RequireAll>
</location>
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
Picit is szofisztikált bot-nak mennyiből tart egy legit MSEdge/Chrome useragent-et beállítania magára?
- A hozzászóláshoz be kell jelentkezni
Elvileg semennyire, viszont ez olyan róka fogta csuka, mert amint a kereső botok, elkezdenek hamis user-agentet tolni, rögtön borulnak a statisztikai adatok is.
Szerintem egyelőre ez nem érdekük.
Így addig is megteszi a fenti szabály.
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
Sajna a mai világban az IP szűrés mit sem ér, mert holnap másik tartományból támad ...
Halistennek igy ket nap utan minden ugyanugy nyugis. Van meg azert par tartomany, azokat osszeszedem meg, hatha masnak is hasznos lehet ez. Mondjuk igy hogy gyk ilyen teljes 3.0/8 blokkok az ovek, azert az is erdekes... de legalabb egyszeru es gyorsan implementalhato a szuresi szabaly :)
Én egyelőre User-Agent el szűrök:
Ez sem rossz gondolat, de itten van meg reverse proxy is meg mindenfele josag, es akkor annak a load-ja se jelenjen meg feleslegesen... :/ Szoval ha mar ennyire behatarolt hogy ki az aki ennyire fullba tolja a kretent, AI-nek alcazva, akkor ez azert talan egyszerubb IP alpajan szurni.
- A hozzászóláshoz be kell jelentkezni
Mondjuk igy hogy gyk ilyen teljes 3.0/8 blokkok az ovek,
Valamit benézel. pl.: 52.0.0.0/9 pontosabban /10 komplett amazon cucca. Így a fenti szabállyal kizártál mindent is ami onnan jönne a szervered felé.
Tehát nem csak a botokat. Sajna az, hogy IP alapján szűrj ma már nehéz, pont emiatt is. Az ilyen projekteket betolják felhőbe AWS / Azure / google stb akiknek hatalmas tartományaik vannak, és majd onnan mikor milyen IP-t kapnak.
Szoval ha mar ennyire behatarolt hogy ki az aki ennyire fullba tolja a kretent,
Mint írtam sajna IP alapján már nagyon nem határolható be ...
UI.: Azok a tartományok, már amiket megnéztem minde Amazon Technologies cucca ...
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
Cloudflare egy klikk és máris dob minden ismert vagy gyanús AI crawler-t
- A hozzászóláshoz be kell jelentkezni
Azota annyi a fejlemeny hogy az amazon meg a claude teljes mertekben leszokott, de a googleusercontent.com-rol irgalmatlan mennyisegu keres kezdett jonni az elmult idoszakban. Ugyhogy most megy az "ellyally-tanitas", aztan szepen lassan kialakulnak ezek az IP-tartomanyok... ez kicsit jobban fragmentaltnak tunik mint az amazon. De talan par het alatt mar latszani fog minden.
- A hozzászóláshoz be kell jelentkezni