在Rails App中阻止垃圾郵件發送者的可靠方法？

Question

我收到很多失敗的登錄請求垃圾郵件發送者/漫遊器嘗試強制憑據，我也收到很多請求，如/forum/index.php。

我寫了一個腳本，從production.log解析那些攻擊者的IP的：

#!/bin/bash 

# Failed Logins 
grep "Failed " ~/app/log/production.log | egrep -o -e "[0-9]{2,3}\.[0-9]{2,3}\.[0-9]{2,3}\.[0-9]{2,3}" | sort | uniq > ~/spammers.txt 

# Try to GET .php Files 
cat ~/app/log/production.log | awk '$0!~/^$/ {print $0}' | sed -n -e "N; /\.php/p" | grep "ApplicationController#index" | egrep -o -e "[0-9]{2,3}\.[0-9]{2,3}\.[0-9]{2,3}\.[0-9]{2,3}" | sort | uniq >> ~/spammers.txt 

但我不能阻止（.httaccess）的IP的，直到我手動檢查其來源由Geolocation。

是否存在針對此問題的Rail-ish解決方案？

Answer 1

我不認爲有這樣的Rails答案。

如果你正在linux服務器上運行，你可以使用LFD（登錄失敗守護進程）進行研究。 http://www.configserver.com/cp/csf.html

一旦您設置看你的Rails應用程序，它會在足夠登錄失敗，入侵企圖後，防火牆級別等

Answer 2

有很多事情你可以做。沒有特別的Rails-y，但應該有所幫助。

首先，我建議您使用JanRain Engage (formerly rpxnow.com)進行身份驗證。該產品使用戶可以使用來自Google，Yahoo，Microsoft，Facebook和一系列其他OpenID提供商的身份驗證憑據登錄到您的網站。讓他們擔心DOS攻擊。其次，如果他們有特定的URL，他們試圖擊中，讓你的網站作爲一個靜態網頁提供它，並設置HTTP標頭，使流氓頁面緩存在他們的瀏覽器。那麼，至少你的服務器不會受到嚴重打擊。

第三，記錄嘗試登錄到您的頁面的垃圾郵件製造者的IP地址，比如說，每分鐘10次以上，如果他們嘗試再次登錄，則通過放置4秒睡眠在呈現其頁面之前。