Tôi đang gặp sự cố bot EXTREME trên một số trang web trong tài khoản lưu trữ của mình. Các bot sử dụng hơn 98% tài nguyên CPU của tôi và 99% băng thông cho toàn bộ tài khoản lưu trữ của tôi. Những bot này đang tạo ra hơn 1 GB lưu lượng truy cập mỗi giờ cho các trang web của tôi. Lưu lượng truy cập thực sự của con người cho tất cả các trang web này là dưới 100 MB / tháng .

Tôi đã thực hiện nghiên cứu sâu rộng về cả tệp robots.txt và .htaccess để chặn các bot này nhưng tất cả các phương pháp đều thất bại.

Tôi cũng đã đặt mã trong các tệp robots.txt để chặn quyền truy cập vào các thư mục tập lệnh, nhưng các bot này (Google, MS Bing và Yahoo) bỏ qua các quy tắc và chạy các đoạn script.

Tôi không muốn chặn hoàn toàn các bot Google, MS Bing và Yahoo, nhưng tôi muốn giới hạn tốc độ thu thập dữ liệu. Ngoài ra, việc thêm câu lệnh Thu thập thông tin chậm trễ trong tệp robot.txt không làm chậm các bot. Mã robot.txt và .htacces hiện tại của tôi cho tất cả các trang web được nêu dưới đây.

Tôi đã thiết lập cả hai công cụ quản trị trang web của Microsoft và Google để làm chậm tốc độ thu thập dữ liệu xuống mức tối thiểu, nhưng họ vẫn truy cập các trang web này với tốc độ 10 lần / giây.

Ngoài ra, mỗi khi tôi tải lên một tệp gây ra lỗi, toàn bộ máy chủ web VPS sẽ ngừng hoạt động trong vài giây để tôi thậm chí không thể truy cập trang web để khắc phục sự cố do sự tấn công của các bot này.

Tôi có thể làm gì để ngăn chặn lưu lượng truy cập vào trang web của mình?

Tôi đã thử hỏi công ty lưu trữ web của tôi (site5.com) nhiều lần về vấn đề này trong những tháng qua và họ không thể giúp tôi với vấn đề này.

Điều tôi thực sự cần là ngăn Bots chạy tập lệnh rss2html.php. Tôi đã thử cả phiên và cookie và đều thất bại.

robot.txt

User-agent: Mediapartners-Google
Disallow: 
User-agent: Googlebot
Disallow: 
User-agent: Adsbot-Google
Disallow: 
User-agent: Googlebot-Image
Disallow: 
User-agent: Googlebot-Mobile
Disallow: 
User-agent: MSNBot
Disallow: 
User-agent: bingbot
Disallow: 
User-agent: Slurp
Disallow: 
User-Agent: Yahoo! Slurp
Disallow: 
# Directories
User-agent: *
Disallow: /
Disallow: /cgi-bin/
Disallow: /ads/
Disallow: /assets/
Disallow: /cgi-bin/
Disallow: /phone/
Disallow: /scripts/
# Files
Disallow: /ads/random_ads.php
Disallow: /scripts/rss2html.php
Disallow: /scripts/search_terms.php
Disallow: /scripts/template.html
Disallow: /scripts/template_mobile.html

.htaccess

ErrorDocument 400 http://english-1329329990.spampoison.com
ErrorDocument 401 http://english-1329329990.spampoison.com
ErrorDocument 403 http://english-1329329990.spampoison.com
ErrorDocument 404 /index.php
SetEnvIfNoCase User-Agent "^Yandex*" bad_bot
SetEnvIfNoCase User-Agent "^baidu*" bad_bot
Order Deny,Allow
Deny from env=bad_bot
RewriteEngine on
RewriteCond %{HTTP_user_agent} bot\* [OR]
RewriteCond %{HTTP_user_agent} \*bot
RewriteRule ^.*$ http://english-1329329990.spampoison.com [R,L]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
# Don't show directory listings for directories that do not contain an index file (index.php, default.asp etc.)
Options -Indexes
<Files http://english-1329329990.spampoison.com>
order allow,deny
allow from all
</Files>
deny from 108.
deny from 123.
deny from 180.
deny from 100.43.83.132

CẬP NHẬT ĐỂ HIỂN THỊ THÊM ĐẠI LÝ BOT

<?php
function botcheck(){
 $spiders = array(
   array('AdsBot-Google','google.com'),
   array('Googlebot','google.com'),
   array('Googlebot-Image','google.com'),
   array('Googlebot-Mobile','google.com'),
   array('Mediapartners','google.com'),
   array('Mediapartners-Google','google.com'),
   array('msnbot','search.msn.com'),
   array('bingbot','bing.com'),
   array('Slurp','help.yahoo.com'),
   array('Yahoo! Slurp','help.yahoo.com')
 );
 $useragent = strtolower($_SERVER['HTTP_USER_AGENT']);
 foreach($spiders as $bot) {
   if(preg_match("/$bot[0]/i",$useragent)){
     $ipaddress = $_SERVER['REMOTE_ADDR']; 
     $hostname = gethostbyaddr($ipaddress);
     $iphostname = gethostbyname($hostname);
     if (preg_match("/$bot[1]/i",$hostname) && $ipaddress == $iphostname){return true;}
   }
 }
}
if(botcheck() == false) {
  // User Login - Read Cookie values
     $username = $_COOKIE['username'];
     $password = $_COOKIE['password'];
     $radio_1 = $_COOKIE['radio_1'];
     $radio_2 = $_COOKIE['radio_2'];
     if (($username == 'm3s36G6S9v' && $password == 'S4er5h8QN2') || ($radio_1 == '2' && $radio_2 == '5')) {
     } else {
       $selected_username = $_POST['username'];
       $selected_password = $_POST['password'];
       $selected_radio_1 = $_POST['group1'];
       $selected_radio_2 = $_POST['group2'];
       if (($selected_username == 'm3s36G6S9v' && $selected_password == 'S4er5h8QN2') || ($selected_radio_1 == '2' && $selected_radio_2 == '5')) {
         setcookie("username", $selected_username, time()+3600, "/");
         setcookie("password", $selected_password, time()+3600, "/");
         setcookie("radio_1", $selected_radio_1, time()+3600, "/");
         setcookie("radio_2", $selected_radio_2, time()+3600, "/");
       } else {
        header("Location: login.html");
       }
     }
}
?>

Tôi cũng đã thêm phần sau vào tập lệnh tss2html.php hàng đầu

// Checks to see if this script was called by the main site pages, (i.e. index.php or mobile.php) and if not, then sends to main page
   session_start();  
   if(isset($_SESSION['views'])){$_SESSION['views'] = $_SESSION['views']+ 1;} else {$_SESSION['views'] = 1;}
   if($_SESSION['views'] > 1) {header("Location: http://website.com/index.php");}

Nếu máy khách rss2html.phpkhông được sử dụng trực tiếp (nghĩa là, nếu PHP luôn sử dụng nó chứ không phải là liên kết hoặc thứ gì đó), thì hãy quên việc cố gắng chặn bot. Tất cả những gì bạn thực sự phải làm là xác định một hằng số hoặc một cái gì đó trong trang chính, sau đó includelà tập lệnh khác. Trong tập lệnh khác, kiểm tra xem hằng số có được xác định hay không và đưa ra lỗi 403 hoặc trang trống hoặc bất cứ điều gì nếu nó không được xác định.

Bây giờ, để làm việc này, bạn sẽ phải sử dụng includechứ không phải vì file_get_contentsnó sẽ chỉ đọc trong tệp (nếu bạn đang sử dụng đường dẫn cục bộ) hoặc chạy trong toàn bộ quá trình khác (nếu bạn ' đang sử dụng một URL). Nhưng đó là phương pháp như Joomla! sử dụng để ngăn chặn một tập lệnh được đưa vào trực tiếp. Và sử dụng đường dẫn tệp chứ không phải URL, để mã PHP chưa được phân tích cú pháp trước khi bạn cố chạy nó.

Thậm chí tốt hơn là di chuyển rss2html.phptừ dưới gốc tài liệu, nhưng một số máy chủ lưu trữ làm cho điều đó khó thực hiện. Cho dù đó là một tùy chọn tùy thuộc vào thiết lập máy chủ / máy chủ của bạn.

Bạn có thể đặt tập lệnh của mình đưa ra lỗi 404 dựa trên chuỗi tác nhân người dùng được cung cấp bởi các bot - họ sẽ nhanh chóng nhận được gợi ý và để bạn yên.

if(isset($_SERVER['HTTP_USER_AGENT'])){
   $agent = $_SERVER['HTTP_USER_AGENT'];
}

if(preg_match('/^Googlebot/i',$agent)){
   http_response_code(301);
   header("HTTP/1.1 301 Moved Permanently");
   header("Location: http://www.google.com/");
   exit;
}

Chọn qua nhật ký của bạn và từ chối Bingbot, v.v. theo cách tương tự - nó sẽ không dừng các yêu cầu, nhưng có thể tiết kiệm một số băng thông - hãy cho googlebot nếm thử loại thuốc của chính nó - Mwhahahahaha!

Đã cập nhật

Nhìn vào mã của bạn, tôi nghĩ vấn đề của bạn là ở đây:

if (preg_match("/$bot[1]/i",$hostname) && $ipaddress == $iphostname)

Nếu họ là chương trình độc hại sau đó họ có thể đến từ bất cứ nơi nào, mất rằng $ipaddresskhoản ra và ném một 301 hoặc 404 phản ứng vào họ.

Suy nghĩ ngay bên cạnh hộp

1. Googlebot không bao giờ chấp nhận cookie , vì vậy nó không thể lưu trữ chúng. Trên thực tế, nếu bạn yêu cầu cookie cho tất cả người dùng, điều đó có thể sẽ khiến bot không truy cập trang của bạn.

2. Googlebot không hiểu các biểu mẫu - hoặc - javascript, do đó bạn có thể tự động tạo các liên kết của mình hoặc yêu cầu người dùng nhấp vào nút để tiếp cận mã của bạn (có mã thông báo phù hợp được đính kèm).

   <a href="#" onclick="document.location='rss2html.php?validated=29e0-27fa12-fca4-cae3';">Rss2html.php</a>

   • rss2html.php? xác thực = 29e0-27fa12-fca4-cae3 - con người
   • rss2html.php - bot

Giới hạn PHP / Chặn yêu cầu trang web cho Nhện / Bots / Khách hàng, v.v.

Ở đây tôi đã viết một hàm PHP có thể Chặn các Yêu cầu không mong muốn để giảm Lưu lượng truy cập trang web của bạn. Tốt cho Nhện, Bots và Khách hàng khó chịu.

KHÁCH HÀNG / Trình chặn Bots

DEMO: http://szczepan.info/9-webdesign/php/1-php-limit-block-website-requests-for-spiders-bots-clents-etc.html

MÃ:

/* Function which can Block unwanted Requests
 * @return array of error messages
 */
function requestBlocker()
{
        /*
        Version 1.0 11 Jan 2013
        Author: Szczepan K
        http://www.szczepan.info
        me[@] szczepan [dot] info
        ###Description###
        A PHP function which can Block unwanted Requests to reduce your Website-Traffic.
        God for Spiders, Bots and annoying Clients.

        */

        # Before using this function you must 
        # create & set this directory as writeable!!!!
        $dir = 'requestBlocker/';

        $rules   = array(
                #You can add multiple Rules in a array like this one here
                #Notice that large "sec definitions" (like 60*60*60) will blow up your client File
                array(
                        //if >5 requests in 5 Seconds then Block client 15 Seconds
                        'requests' => 5, //5 requests
                        'sek' => 5, //5 requests in 5 Seconds
                        'blockTime' => 15 // Block client 15 Seconds
                ),
                array(
                        //if >10 requests in 30 Seconds then Block client 20 Seconds
                        'requests' => 10, //10 requests
                        'sek' => 30, //10 requests in 30 Seconds
                        'blockTime' => 20 // Block client 20 Seconds
                ),
                array(
                        //if >200 requests in 1 Hour then Block client 10 Minutes
                        'requests' => 200, //200 requests
                        'sek' => 60 * 60, //200 requests in 1 Hour
                        'blockTime' => 60 * 10 // Block client 10 Minutes
                )
        );
        $time    = time();
        $blockIt = array();
        $user    = array();

        #Set Unique Name for each Client-File 
        $user[] = isset($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : 'IP_unknown';
        $user[] = isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : '';
        $user[] = strtolower(gethostbyaddr($user[0]));

        # Notice that I use files because bots do not accept Sessions
        $botFile = $dir . substr($user[0], 0, 8) . '_' . substr(md5(join('', $user)), 0, 5) . '.txt';


        if (file_exists($botFile)) {
                $file   = file_get_contents($botFile);
                $client = unserialize($file);

        } else {
                $client                = array();
                $client['time'][$time] = 0;
        }

        # Set/Unset Blocktime for blocked Clients
        if (isset($client['block'])) {
                foreach ($client['block'] as $ruleNr => $timestampPast) {
                        $elapsed = $time - $timestampPast;
                        if (($elapsed ) > $rules[$ruleNr]['blockTime']) {
                                unset($client['block'][$ruleNr]);
                                continue;
                        }
                        $blockIt[] = 'Block active for Rule: ' . $ruleNr . ' - unlock in ' . ($elapsed - $rules[$ruleNr]['blockTime']) . ' Sec.';
                }
                if (!empty($blockIt)) {
                        return $blockIt;
                }
        }

        # log/count each access
        if (!isset($client['time'][$time])) {
                $client['time'][$time] = 1;
        } else {
                $client['time'][$time]++;

        }

        #check the Rules for Client
        $min = array(
                0
        );
        foreach ($rules as $ruleNr => $v) {
                $i            = 0;
                $tr           = false;
                $sum[$ruleNr] = 0;
                $requests     = $v['requests'];
                $sek          = $v['sek'];
                foreach ($client['time'] as $timestampPast => $count) {
                        if (($time - $timestampPast) < $sek) {
                                $sum[$ruleNr] += $count;
                                if ($tr == false) {
                                        #register non-use Timestamps for File 
                                        $min[] = $i;
                                        unset($min[0]);
                                        $tr = true;
                                }
                        }
                        $i++;
                }

                if ($sum[$ruleNr] > $requests) {
                        $blockIt[]                = 'Limit : ' . $ruleNr . '=' . $requests . ' requests in ' . $sek . ' seconds!';
                        $client['block'][$ruleNr] = $time;
                }
        }
        $min = min($min) - 1;
        #drop non-use Timestamps in File 
        foreach ($client['time'] as $k => $v) {
                if (!($min <= $i)) {
                        unset($client['time'][$k]);
                }
        }
        $file = file_put_contents($botFile, serialize($client));


        return $blockIt;

}


if ($t = requestBlocker()) {
        echo 'dont pass here!';
        print_R($t);
} else {
        echo "go on!";
}

Có khả năng trang web của bạn đang được lập chỉ mục bởi các bot giả mạo google. Bạn có thể thử thêm một kiểm tra và phục vụ 404 cho tất cả các yêu cầu bot google giả mạo.

Đây là một bài viết giải thích cách xác minh Googlebot: http://googlewebmastercentral.blogspot.com/2006/09/how-to-verify-googlebot.html

Ngoài ra, bạn có thể kiểm tra hồ sơ của mình trước các bot giả đã biết: http : //stop Quảng cáo.com / security / fact-google- bots.html

Bạn nên thực sự đảm bảo ở nơi đầu tiên rằng bất kỳ trang nào được yêu cầu từ một người dùng, trong đó bất kỳ trình thu thập thông tin lạm dụng nào bạn có, sẽ được cung cấp một trang tĩnh.

Một apache mod_rewrite có điều kiện hoặc tương đương với máy chủ http của bạn. Đối với apache, một cái gì đó như thế này:

RewriteCond  %{HTTP_USER_AGENT}  ^GoogleBot [OR]
RewriteCond  %{HTTP_USER_AGENT}  ^OtherAbusiveBot
RewriteRule  ^/$                 /static_page_for_bots.html  [L]

Để tiếp tục bài đăng của smassey, bạn có thể đặt một số điều kiện:

RewriteCond  %{HTTP_USER_AGENT}  ^GoogleBot [OR]
RewriteCond  %{HTTP_USER_AGENT}  ^OtherAbusiveBot
RewriteRule  ^rss2html\.php$     /static.html  [L]

Bằng cách này, các bot vẫn truy cập các trang của bạn, nhưng không phải là trang đó. Thật kỳ lạ khi các bot (hợp pháp) không tuân thủ các quy tắc, bạn có bất kỳ người giới thiệu nào đẩy bot đến trang của bạn từ các nguồn khác (chuyển tiếp tên miền, ...)

Tôi đã giải quyết vấn đề tương tự với tập lệnh có sẵn tại http://perishablepress.com/blackhole-bad-bots/ . Với cách tiếp cận lỗ đen này, tôi đã thu thập một danh sách các ip độc hại, và sau đó sử dụng .htaccess đã từ chối chúng. .

Kiểm tra trang này cũng để biết danh sách đầy đủ các quy tắc htaccess để chặn nhiều bot rác đã biết. http://www.askapache.com/htaccess/blocking-bad-bots-and-scrapers-with-htaccess.html

// Checks to see if this script was called by the main site pages,
// (i.e. index.php or mobile.php) and if not, then sends to main page
session_start();  
if (isset($_SESSION['views'])) {$_SESSION['views'] = $_SESSION['views']+ 1;} else {$_SESSION['views'] = 1;}
if ($_SESSION['views'] > 1) {header("Location: http://website.com/index.php");}

Kịch bản này không làm những gì bình luận nói, thực tế nó hoàn toàn ngược lại. Điều này sẽ luôn cho phép các bot thông qua, vì biến phiên sẽ không bao giờ được đặt khi bot yêu cầu tập lệnh của bạn. Tất cả những gì nó có khả năng sẽ làm là ngăn các yêu cầu hợp pháp (từ index.php hoặc mobile.php) gọi tập lệnh nhiều lần.

Để ngăn bot truy cập vào tập lệnh của bạn, bạn chỉ nên cho phép truy cập nếu một biến phiên (hoặc cookie) thực sự được đặt. Tất nhiên, giả sử rằng bot (độc hại) không chấp nhận cookie. (Chúng tôi biết rằng Googlebot thực sự không.)

Như đã được đề cập, việc đặt rss2html.php phía trên thư mục gốc (bên ngoài không gian web công cộng) sẽ ngăn bot truy cập trực tiếp vào tập lệnh - nhưng bạn nói điều này có gây ra vấn đề khác không? Hoặc, đặt nó trong một thư mục và bảo vệ thư mục đó bằng .htaccess. Hoặc thậm chí bạn có thể chỉ bảo vệ tệp trong .htaccess khỏi các yêu cầu trực tiếp?

Hãy thiết lập tên miền của bạn trên Cloudflare (dịch vụ miễn phí cho việc này). Họ chặn các bot độc hại ở cấp tên miền trước khi chúng tấn công máy chủ của bạn. Mất khoảng 20 phút, không bao giờ phải khỉ với mã.

Tôi sử dụng dịch vụ này trên tất cả các trang web của tôi và tất cả các trang web của khách hàng. Họ xác định các bot độc hại dựa trên một số kỹ thuật bao gồm tận dụng dự án Honey pot.

Những gì bạn cần làm là cài đặt Chứng chỉ SSL trên máy chủ của bạn cho apache / nginx / email / ftp. Kích hoạt HSTS và bạn cũng cần chỉnh sửa tệp ssl.conf để SSLv2 SSLv3 TLSv1 bị vô hiệu hóa và không cho phép kết nối đến. Tăng cường máy chủ của bạn đúng cách và bạn sẽ không gặp vấn đề gì từ bot.