Bloccare determinate richieste url da spammer

[gheffo]

Ciao a tutti,
sono nuovo del forum, intanto vi faccio i complimenti!
Qualche tempo fa il mio server è stato infettato da un file .xml che richiamava continuamente siti di spammer, molto simile ad un attacco DDoos.
Ogni giorno mi arrivano richiesta a www.miosito.it/css, cartella che ho già bloccato con il robot.txt, vorrei sapere se è possibile bloccare tramite .htaccess tutte le url che contengono la stringa "css" (in quanto io non la uso nel mio sito) ed evitare un sacco di errori 404 che poi anche il bot di google mi segnala su strumenti per webmaster.
Vorrei sapere se esiste un componente per joomla o una qualche opzione da configuare per far sì che non mi arrivo in continuazione errori 404 e bloccare l'url.

Vi allego anche un immagine chiarificatrice:

[56francesco]

ciao, versione di joomla?
ora siamo alla 1.5.22

[gheffo]

Ho la 1.5.22

Grazie della risposta

[mau_develop]

non capisco...

Qualche tempo fa il mio server è stato infettato da un file .xml che richiamava continuamente siti di spammer, molto simile ad un attacco DDoos.
------------------------------------------------------------------------------
sicuro di aver rimosso tutto il malware? solitamente sono bot che lasciano una key, molto simile a google verification oltre a tutto il resto descritto nell'articolo in testa a qs sezione.

Ogni giorno mi arrivano richiesta a www.miosito.it/css, cartella che ho già bloccato con il robot.txt, vorrei sapere se è possibile bloccare tramite .htaccess tutte le url che contengono la stringa "css" (in quanto io non la uso nel mio sito) ed evitare un sacco di errori 404 che poi anche il bot di google mi segnala su strumenti per webmaster.
-----------------------------------------------------------------------------------
a che pro? potrei chiamare anchi'io il tuo sito con una richiesta inesistente e tu troveresti un 404 in google webmaster

Vorrei sapere se esiste un componente per joomla o una qualche opzione da configuare per far sì che non mi arrivo in continuazione errori 404 e bloccare l'url.
-------------------------------------------------------------
perchè il tuo sito non usa css? ..ovvero tu non hai link a css?

ma infine qual'è il problema? i 404 in google webmaster? ti attaccano? si iscrivono? ...insomma perchè secondo te è dannoso quello che fanno?

M.

[gheffo]

Sì, il malware si era posizionato in un file .xml che ho bloccato e rinominato.
Nella mia installazione joomla non c'è una cartella css.
Inoltre le richieste mi arrivano non dal mio sito con estensione .eu ma da un redirect 301 che avevo fatto al dal mio vecchio sito con estensione .it.
Ora dato che uso l'htaccess per fare il redirect volevo inserire una riga di codice che bloccasse tutte le url che contenevano il testo "css"

[mau_develop]

Ora dato che uso l'htaccess per fare il redirect volevo inserire una riga di codice che bloccasse tutte le url che contenevano il testo "css"
------------------------------------------
ribadisco la domanda... a che pro?
..che lui non lo trovi perchè la cartella non ce l'hai o che tu glielo blocchi che differenza c'è?

M.

[gheffo]

Al pro che mi arrivano 400 richieste al giorno.
E penso proprio sia un bel pro.

[mau_develop]

si ma bloccarlo significa che ti arrivano ugualmente quelle 400 richieste solo che fai qualcosa (inutile) invece di non fare nulla.

1) 400 log in una giornata non sono nessun tipo di dos, ddos o altra roba simile ... quando iniziamo a parlare di 4.000.000 iniziamo a pensare anche a qs scopo.

2) Il massimo che puoi fare è appunto dirigerlo ad un errore ... lo stesso che accade adesso solo che lo fa joomla, con l'htaccess lo fa il server prima di caricare joomla ...in soldoni cambia poco

3) Se non trovare nulla servisse a farlo desistere lo avrebbe già fatto... è un bot e un bel giorno smetterà.

M.

[gheffo]

Grazie della risposta! Attenderò il bel giorno in cui il bot smetterà!

[mau_develop]

..si comunque ci sarebbero da capire tante cose...

Nella mia installazione joomla non c'è una cartella css.
---------------------------------------------------------------------------
...mi sembra veramente strano...magari non nella root ma dentro le cartelle sicuramente e magari è possibile (sicuramente) puntarla direttamente

Inoltre le richieste mi arrivano non dal mio sito con estensione .eu
-----------------------------------------------------------------------------------------
questa non la capisco... cioè sei tu che ti chiami?

ma da un redirect 301 che avevo fatto al dal mio vecchio sito con estensione .it.
----------------------------------------------------------------------------------------------------------
..o un tuo vecchio sito che chiama quello nuovo??

M.

[gheffo]

Nella root principale non ho una cartella css,
il motivo per cui voglio usare l'htaccess è che il malware era nel mio vecchio sito con estensione it, sito nel quale non c'era joomla ma semplici pagine in html.
Ora dato che ho un 301 da it a eu il redirect mi passa anche tutte le richeste del vecchio malware.
La mia idea era bloccare le richieste che vengono dal dominio .it e che contengono nell'indirizzo url la voce "css"
Soltanto che non conosco bene il linguaggio apache e non so farlo da me

[tomtomeight]

Ma dal vecchio dominio.it se hai un  .htaccess che ti redireziona al .eu, puoi anche cancellare tutte le pagine html e con loro il malware, se pensi sia questa l'origine.

[gheffo]

Non è il problema delle pagine, il problema è che questo malware richiama url al mio sito come "css/nudist.html","css/***.html" e anche se le pagine sono state rimosse continuano ad arrivare le richeste url che ora danno un 404.
Da analytics ho visto che vengono da Yandex (?) ma hanno tutte in comune il fatto che puntano ad un indirizzo che contiene sempre "css/".
Io voglio intercettare con l'htacess tutte le url che vengono dal dominio it contenenti "css" e bloccarle senza farle arrivare al domini eu.

[tomtomeight]

Puoi provare a capire se proviene dallo stesso ip in modo da bloccare direttamente questi.

[gheffo]

Ma esiste qualche tool con cui lo posso vedere?

[tomtomeight]

Devi leggere i log del server

[gheffo]

Grazie, ho trovato il log e le richieste sembrano venire tutte dallo stesso ip:
80.239.243.59

Ho inserito come prima riga dell'htaccess la seguente stringa:

order allow,deny
deny from 80.239.243.59
allow from all

E' corretta vero?

[tomtomeight]

Io blocco così

<Files *>
order allow,deny
allow from all
deny from 71.22.111.162/255.255.255.254
deny from 91.201.66.113/255.255.255.254
deny from 64.150.187.95/255.255.255.254
deny from 174.121.79.148/255.255.255.254
deny from 74.54.28.74/255.255.255.254
</Files>

[gheffo]

Perché usi "<files>"
E metti il gateway?

[tomtomeight]

Per file non saprei l'ho trovato cosi, quella non e' il gateway ma la subnet che serve per indicare un range di indirizzi, ma puoi anche ometterlo se l'ip e' uno solo.