--=REKLAMA=--
Katalog dostępny tylko z określonego IP
Efektywnym sposobem ochrony katalogu /administrator w standardowej instalacji Joomla! może być udostępnienie go tylko połączeniom z określonego adresu IP. Aby jednak z tej metody skorzystać, musisz posiadać statyczny adres IP, z którego będziesz się łączyć.
Przedstawiany sposób może być wykorzystany do ochrony każdego innego katalogu w public_html. Każdy, kto spróbuje przeglądać tak zabezpieczony katalog, otrzyma sygnał błędu 403 (Zabroniony dostęp ze względu bezpieczeństwa).
Czynności
########## Start – Dostęp tylko z określonego adresu IP Order deny, allow Deny from all Allow from 100.100.100.100 ########## Koniec – Dostęp tylko z określonego adresu IP
Pierwsza linia określa kolejność wykonywania dyrektyw – najpierw zostaną wykonane polecenia blokujące dostęp (tu jedno), a następnie zezwalające na dostęp. Można by tę linię opuścić, bowiem standardowo zawsze najpierw wykonywane są polecenia blokujące. Druga linia blokuje dostęp wszystkim, natomiast trzecia zezwala na dostęp z podanego adresu lub adresów IP – można tu bowiem wpisać kilka adresów, oddzielając je przecinkami, np.:
100.100.100.101, 100.100.100.102
Blokowanie dostępu połączeniom z określonego IP
Tę samą metodę możemy wykorzystać w odwrotny sposób – blokować dostęp poszczególnym adresom IP lub całym ich grupom, aby np. udaremnić działalność spamujących robotów internetowych czy utrudnić przeglądanie witryny uciążliwym użytkownikom.
Czynności
########## Start – Blokowanie połączeń z określonych adresów IP Order allow, deny Deny from 200.200.200.200 Deny from 210.210.210 Deny from 220.220 Allow from all ########## Koniec – Blokowanie połączeń z określonych adresów IP
Zwróć uwagę na dwie kwestie.
Po pierwsze – niestandardową kolejność zarządzoną poleceniem Order allow, deny. Gdyby jej nie było, umieszczone na końcu polecenie Allow from all osłabiłaby działanie poprzednich. W aktualnym ujęciu połączenia ze wszystkich adresów poza wyszczególnionymi zostaną zaakceptowane.
Po drugie – na różny zakres blokowania w poleceniach Deny from. W pierwszym z poleceń blokujemy połączenia z dokładnie określonego adresu, w drugim blokujemy połączenia ze wszystkich adresów IP rozpoczynających się od 210.210.210. W kolejnym mamy przykład jeszcze szerszego zasięgu.
Czarna lista
Poniżej znajduje się niewielka "czarna lista" adresów IP zasłużonych działalnością internetowych bandytów. Gdy zawodzą inne metody ochrony, rozwiązaniem może być umieszczenie poniższej listy i instrukcji zarazem w omawianym przed chwilą bloku poleceń.
deny from 213.219.122 deny from 195.150.77.248 deny from 212.68.215.87 deny from 85.17.1.117 deny from 80.237.211.8 deny from 72.37.212.106 deny from 195.150.77.248 deny from 212.68.215.87 deny from 87.101.65.166 deny from 213.238.83.202 deny from 217.76.116.186 deny from 83.21.16.227 deny from 83.15.0 deny from 79.163.225.105 deny from 85.112.193.38 deny from 85.112.193 deny from 83.15.0.51 deny from 77.70 deny from 77.70.106.4 deny from 77.70.106.72 deny from 89.79.112.149 deny from 89.77.2.35 deny from 89.77.2.35
'Blokowanie dostępu połączeniom z określonych domen
Posługując się poznanymi przed chwilą poleceniami, można również zablokować dostęp do witryny dla hostów z konkretnej subdomeny lub dla całych domen. Podobnie jak w poprzednim przykładzie, można wykorzystać tę metodę dla blokowania domen znanych ze spamerskiej działalności. W pliku .htaccess umieszczamy taki np. zestaw poleceń:
########## Start – Blokowanie połączeń z określonych domen Order allow, deny deny from .fc03.deviantart.com deny from .deviantart.com deny from .west-sounds.com deny from .lowmp3.info deny from .justmusicmp3.com deny from .isound.be deny from .kwatera.com deny from .galomat.pl deny from .peggysage.pl deny from .rakszawskie.p2a.pl deny from .wba.wbhosting.co.ukital-charms.com deny from .ital-charms.com deny from .wbhosting.co.uk deny from .zone-h.orgwba.wbhosting.co.uk deny from .zone-h.com deny from .fileupyours.com deny from .parit.org deny from .ankietaonline.pl deny from .ankieta-online.pl deny from .leaseweb.com deny from .pachecotecnologia.net deny from .pachecotecnologia.com deny from .freeimagehosting.netexamples.oreilly.com deny from .examples.oreilly.com deny from .oreilly.com deny from .spieleck.de deny from .onkare.com deny from .superlab.com deny from .cyber-warrior.org deny from .cyber-security.orgmegalan.bg deny from .megalan.bg deny from .hewew245.sitemynet.com deny from .mynet.com deny from .sitemynet.com deny from .hewew245.sitemynet.com deny from .dosya.ayyildiz.org deny from .hackbulten.com deny from .forumdapaylas.com deny from .ashiyane.org
###### Nie usuwaj linii poniżej Allow from all ########## Koniec – Blokowanie połączeń z określonych domen
Uwaga
Stosowanie wyżej opisanej metody wykluczeń w bardzo szerokim zakresie nie jest zbyt efektywne. Po pierwsze, spowalniają one ładowanie strony przy bardzo długich listach adresów IP - system musi sprawdzić, czy dane wywołanie nie jest wykluczone, a to wymaga czasu. Po drugie, w dłuższym okresie czasu takie listy się dezaktualizują, ponieważ wiele exploitów jest uruchamianych na zaatakowanych maszynach, albo wysyłane są przez serwery proxy, co maskuje rzeczywiste adresy atakującego. Włamywacze mogą atakować z wielu zainfekowanych komputerów, które przez pewien czas pozostają pod ich kontrolą, ich blokowanie w dłuższym czasie prowadzi do blokowania legalnych użytkowników - właścicieli tych adresów IP, ale nie atakujących. Jeżeli zamierzasz stosować tę metodę, stosuj ją z umiarem, i staraj się często aktualizować listę wykluczeń, aby na bieżąco reagować na dynamicznie zmieniające się pozycje internetowych bandytów.