Questione : Parete refrattaria di Cpanel LFD (assistente della LAMPADA di linux)

La parete refrattaria di LFD ancora che permette i IP address con quella è ostruita

Ho notato recentemente due casi separati.
1. avevo aggiunto manualmente un IP address dovuto lo Spam della forma di fotoricettore. Allora abbiamo ottenuto parecchi PIÙ dallo stesso IP address che era stato ostruito manualmente. La forma di fotoricettore usa l'ENV la varietà REMOTE_ADDR per la cattura del IP address. Ho usato
200.143.0.0 /16
quale disposizione sembra funzionare nel passato.

2. Esclusivamente, ostruito ed allora continuato ad ottenere attraverso: Nello sguardo sopra i ceppi dell'assistente, vedo che il rivelatore della parete refrattaria ha fatto il relativo lavoro nel blocco dell'esempio sotto 81.208.30.34
Tuttavia in ore e giorni successivi, ci erano centinaia che PIÙ blocchi hanno pubblicato (i gruppi di cinque guasti dall'attacco del dizionario).
(vedere il WHM> negare l'entrata di lista qui sotto, seguito da due brani casuali dai email che del ceppo ricevo). Ho pensato una volta che un IP fosse ostruito, quello ero la conclusione di esso, che la parete refrattaria ha impedetto persino ottenere che lontano ancora di essere ostruito ancora.

DOMANDE:
A. Sono i vars del IP ENV spoofable? (e sta ostruendo così l'indirizzo errato)

B -- o-- la domanda reale: come potrebbero gli accessi successivi farli con (e nel caso posteriore, be essere ostruito ancora)

C una domanda di divagazione. Il mio “proprietario„ dice che quello using la sintassi della mascherina di CIDR per il blocco nega la lista prende una quantità eccessiva di tempo CPU per filare con ciascuno di 2 ** 16 IP address. Ho pensato che un'equazione booleana semplice di logica fosse usata bitwise per mascherare letteralmente la parte necessaria del addr del IP e fare appena un semplice = confronta per quello il divisorio.
Che cosa è il vostro introito sul utilizzare le mascherine di CIDR nella lista di negazione?

GRAZIE!

(ceppi/sommario allegato sotto)

         
           
             1:






































           
           
          CEPPO 

_________________________________
Negare l'entrata di lista:
208.30.34 # lfd: 5 guasti di inizio attività (pop3d) da 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it) in ultime 300 sec - Fri 14 maggio 11: 51: 09 2010

__________________________________
due esempi dei ceppi inviati con la posta elettronica (a seguito dell'entrata di lista del blocco)
(sembra essere un attacco del dizionario)


Tempo: Fri 14 maggio 11: 54: 20 2010 -0400
IP: 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it)
Guasti: 5 (pop3d)
Intervallo: 300 secondi
Ostruito: Sì

Entrate di ceppo:

maggio 11: 54: 15 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=tony, ip= [:: ffff: 81.208.30.34]
maggio 11: 54: 17 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=cyrus, ip= [:: ffff: 81.208.30.34]
maggio 11: 54: 18 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=pgsql, ip= [:: ffff: 81.208.30.34]
maggio 11: 54: 20 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=info, ip= [:: ffff: 81.208.30.34]
maggio 11: 54: 20 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=named, ip= [:: ffff: 81.208.30.34]

Tempo: Fri 14 maggio 12: 09: 28 2010 -0400
IP: 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it)
Guasti: 5 (pop3d)
Intervallo: 300 secondi
Ostruito: Sì

Entrate di ceppo:

maggio 12: 09: 01 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=radiomail, ip= [:: ffff: 81.208.30.34]
maggio 12: 09: 07 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=harrypotter, ip= [:: ffff: 81.208.30.34]
maggio 12: 09: 15 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=divine, ip= [:: ffff: 81.208.30.34]
maggio 12: 09: 21 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=popa3d, ip= [:: ffff: 81.208.30.34]
maggio 12: 09: 26 server2 pop3d: INIZIO ATTIVITÀ VENUTO A MANCARE, user=aptproxy, ip= [:: ffff: 81.208.30.34]

           
         

Risposta : Parete refrattaria di Cpanel LFD (assistente della LAMPADA di linux)

A: I vars del IP ENV possono spoofed, ma poichè è un collegamento di TCP esso possono soltanto essere “una parodia dei ciechi„ (http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=6394&mode=thread&order=0&thold=0) che significa il cliente deve indovinare alcune cose ed inoltre non riceverà alcune risposte (caricare tutto il contenuto della pagina). Naturalmente il cliente deve anche essere su una rete che concede spoofing i IP address.

B: Come avete ostruito il IP address. Il blocco può essere tempo limitato (ed ha rimosso così un certo tempo in avvenire), o può essere fatto ai livelli elevati di sicurezza (non sulla parete refrattaria). Inoltre potete avere limite a quanti IPS sono ostruiti (per esempio DENY_IP_LIMIT). Quando il limite è raggiunto i più vecchi blocchi sono rimossi.

C: dipende dal blocco e dal software che fanno il blocco - potrebbe mettere in un subrange o in tutti gli diversi indirizzi.

Altre soluzioni

Sysprepping Windows 7 pc

Ciclaggio complesso di domanda di Coldfusion

SPContext.Current sta restituendo la posizione di segnale minimo nell'alimentatore di evento “di SPItemEventReceiver„.

IL CSS che IL MIME errato scriv dentro Firefox a macchina su Apache, il testo/css .css di AddType è là

MAcbook pro rifiuta di collegarsi via Ethernet ma impianti via il wifi

Cliente del Java applet - Eccezione di sicurezza

Mostrare tutte le annotazioni nella domanda se niente selezionato in Listbox - la parte II

Mouseover su div.a cambia la disposizione di div.b (CSS puro)

Azionamento duro PowerEdge guast 1850 di incursione 1

asp - La risorsa non ha potuto essere trovata