Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IP Bereich (1.2.3.X) sperren oder besser nicht ?

Mitglied: Arano

Arano (Level 2) - Jetzt verbinden

25.08.2009, aktualisiert 19:37 Uhr, 12248 Aufrufe, 10 Kommentare

Sollte ich den IP-Bereich eines Hosters von dem vermutlich ein Spambot agiert sperren ?

Hallo zusammen,

seit ende letzen Jahres wird ein Webserver, besser gesagt, das Gästebuch der Internetseite die auf dem Server liegt von einem Spambot "heimgesucht". Die Spameinträge habe ich nach kurzer Zeit mit einem Captcha verhindern können, allerdins hat der Bot __nicht__ aufgehört ! Das heisst das seit dem der Server weiterhin mit den Anfragen (GET und POST-Requests) des Bots beschäftigt wird. Die Anfragen laufen auch immer nach dem selben Schema aber in unterschiedlichen intervalen ab:
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "GET /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 5890 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)" 
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "POST /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 6095 "http://www.example.com/gaestebuch/seite-1/eintragen.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)"
Erst der normale GET-Request um den Referrer zu erlangen, gefolgt von dem POST um einen neuen Eintrag zu erstellen. Ich habe gestern Abend mal die Logfiles nach dem IP-Bereich gescannt = >37.000 Treffer !
Die letzte Stelle der IP wechselt jeden Monat wo bei pro Tag bis zu vier IPs im wechsel zu erwarten sind !
Der gesamte Bereich "gehört" laut ripe.net zu einem "Hosting-Center" in der Schweiz.

  1. Eigentlich sollte ich diesen IP Bereich doch sperren können ohne normale Internetbesucher mit auszusperren, oder ?
  2. Macht es Sinn den Hoster darüber zu informieren was "sein Kunde __vermutlich__ anstellt" ? (In der Hoffnung das dieser was dagegen tut)


Einen schönen Abend noch
~Arano
Mitglied: 1002-btl
25.08.2009 um 19:58 Uhr
Hallo,

den IP Bereich manuell sperren könnte schnell zu einer Tagesbeschäftigung werden, da ja die IP's immer wieder wechseln.
Die IP's gehören vielleicht zu einem Botnetz mit vielen PCs und führen dann zu ahnungslosen Privatleuten.
Ich würde zuerst die URL vom Gästebuch ändern, damit die Requests der Bots ins Leere laufen.

Vielleicht könnte es helfen, bereits beim vorangehenden Get Request bei einem ungültigen Referer (außerhalb der eigenen Homepage) dem Bot einen Fehlercode zurück zu liefern (z.B. 404). Das funktioniert aber nur über Scriptsprachen und nicht mit statischen Seiten.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.

Viel Glück
Bitte warten ..
Mitglied: Arano
25.08.2009 um 20:56 Uhr
Hallo 1002-btl

Nee, einzene IPs wollte ich auch nicht sperren ich wollte gleich alle von 1.2.3.0 bis 1.2.3.255 sperren.
Dieser IP-Bereich soll eben zu dem Hoster (nicht Internetprovider) in der Schweiz gehören, darum schätze ich das ich deswegen keine Privatleute treffen würde. Aus der Schweiz werden zwar eh keine Besucher erwartet aber die Zukunft hat viele Überraschungen bereit so das mir eine grundsätzliche Lösung lieber wäre (wenn es sie gibt).

Das ändern der URL ist keine so schlechte Idee, wäre ich vielleicht gar nicht drauf gekommen.

Das mit dem Referrer wirderum funktioniert nicht weil der beim vorangehendem GET immer leer ist und beim folgendem POST der Seiteneigenem URL entspricht.

Ja, einen HTTP-Status senden hatte ich mir auch schon überlegt (arbeite mit PHP) allerdings an der Stelle an der der Eintrag wegen des falschen Captchas nicht gespeichert wird (401, 404, 406, 400 oder einen anderen). Leider wird vorher schon der komplette Kopfbereich der Website ausgegen so das ich keine weiteren Headerinformationen senden kann.
Und wenn der Besucher den Captcha mal falsch ausfüllt und nen 404 bekommt ist das auch nicht gut.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Wie dem auch sei, das mit der URL werde ich morgen mal in Angriff nehmen und dann beoabachten wielange der Bot braucht das zu verstehen...
*arg* Schlüsselwort "Verstehen", der hat die Seite ja auch gefunden, was sollte ihn davon abhalten die "neue" Seite auch wieder zu finden, werde sie in der Navigation verlinken müssen.

Ich mach mir Morgen mal nen Kopf drüber und überlge was ich einfach mal ausprobieren werden...


Gute Nacht
~Arano
Bitte warten ..
Mitglied: EvilMoe
25.08.2009 um 21:04 Uhr
Warum kommt der Bot überhaupt am Captcha vorbei?
Wäre es nicht einfacher zu schauen warum er das lesen kann? Vielleicht etwas schwieriger machen, oder vielleicht ist ein Fehler Captcha (z.B. Buchstaben sind im Klartext im Quellcode vorhanden etc.)...
Bitte warten ..
Mitglied: dog
25.08.2009 um 23:45 Uhr
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Die Zahl sollte keinem Apache was ausmachen.
Ein Guter schafft 3k Requests pro Sekunde.

Grüße

Max
Bitte warten ..
Mitglied: maretz
26.08.2009 um 07:15 Uhr
Ich würde erstmal den Auszug aus der Logfile (unverändert!!!) an den Hoster senden. Denn dann wird der schon dafür sorge tragen das derjenige aufhört bzw. seinen Server mal überprüft. Immerhin zahlt der Hoster den Traffic...

Sollte das nicht helfen würde ich gucken ob man jemand anders findet (z.B. abuse-Adresse) der notfalls dem Hoster sogar auf die Finger haut... Allerdings ist es bei mir bisher nie soweit gekommen das ich da nachhaken musste - meist kam sogar sehr schnell nen kleines Entschuldigungs-Schreiben des Hosters mit der Aussage das er sich darum kümmern wird. Und 1-2 Tage später war dann auch ruhe
Bitte warten ..
Mitglied: Arano
26.08.2009 um 16:58 Uhr
Hallo zusammen.

@EvilMoe:
Nein, der Bot kommt am Captcha nicht vorbei, das funktioniert schon !
Der Punkt ist nur, bei einem falsch gelöstem Captcha gibt man dem Benutzer ja nur Bescheid a lá: "Captcha falsch, probiere es noch mal" und zeigt ihm das Formular mit seinen bisherigen Eingaben. Weil die Seite aber erfolgreich angezeigt wird resultiert das in einem HTTP-Status: "200 OK". Der Benutzer sieht/liest ja das es nicht funktioniert hat, der Bot nicht weil Status 200 = alles OK, also kommt er wieder (ob wohl es eigentlich nichts bringt) !

@Dog:
Das sind schon ne menge Anfragen die der verarbeiten kann !
Naja, in der Hinsicht (Serverleistung) bin ich schon immer "ängstlich" gewesen, was ja auch nicht unbedingt schlecht ist ;)
Und Danke für die Info !

@maretz:
Hast das wohl schon ein paar mal mitgemacht, wie !?
Aber das hört sich auch gut an, eigentlich sogar genau das was ich auch gerne hören wollte.
Werde das also gleich mal machen.
Danke für den Hinweis !

@Alle:
Ich wollte mir ja noch ein paar Gedanken dazu mache und so tat ich das auch:
  • Also, das sperren der IP / des Bereiches hätte vielleicht geholfen, aber nur gegen diesen einen Bot und sämtliche IP-Bereiche sperren aus denen irgendwann mal ein Bot kommt wird früher oder später damit enden das nur noch local auf den Server zugegriffen werden kann.
  • Das ändern der URL wäre auch nur eine temporäre Lösung gewesen weil auch hier früher oder später der Bot die neue URL gefunden hätte, Und wenn nicht dieser, dann ein anderer.
  • Mir scheint das nur die Methode mit den HTTP-Status-Codes in Frage kommt, als "vorsorge" Schutz damit die Bots gar nicht erst das Interesse an der Seite / dem Formular bekommen. Bei einem falschem Captcha müsste also z.B. erst ein "404 Not Found" für den Bot kommen und anschließend ein "3xx Redirect" mit der Weiterleitung zum bereits vorgefülltem Formular. Funktioniert wenn überhaupt eh nur bei Bots die auch auf den HTTP-Status achten (um keine unnötigen Formulare in ihre Listen aufzunehmen o.ä.).

Ja, so denke ich da gerade drüber, ob es stimmt wird sich noch herausstellen, theoretisch wie technisch und vor allem praktisch.

Ein Dankeschön noch mal an alle für eure Anregungen und Vorschläge, Danke !


~Arano
Bitte warten ..
Mitglied: dog
26.08.2009 um 17:21 Uhr
Es gibt auch noch einen weiteren Trick um Bots auszusperren, die die robots.txt ignorieren.
Dazu fügt man unsichtbar eine neue URL in die Seite ein, wobei bei jedem Aufruf die IP gesperrt wird.
Damit man nicht auch Google etc. aussperrt trägt man die URL vorher als Verboten in die robots.txt ein.
Aber das ist auch nur eine halbe Lösung

Grüße

Max
Bitte warten ..
Mitglied: Arano
29.08.2009 um 13:11 Uhr
Guten Tag, ich noch mal !

Ich dachte ich berichte euch noch davon was aus dem anschreiben des Hosters geworden ist.

AWESOME !
Wie maretz sagte !
Habe eine Mail mit ein paar kurzen Auszügen der Logs, etwas Text (a lá: werde seit X von IPs aus ihrem IP Bbereich "angegriffen", mittlerweile über 34.000 Loglines, bla bla) und eine Datei mit allen vollständigen Einträgen vom August als Anhang um 21:00 Uhr abgeschickt !
Am nächstem Tag wurde bereits um 06:57 Uhr deren Antwort versandt:
Thanks for the information. Necessary measures will be taken A.S.A.P.
Und bis heute ist der letzte Eintrag in den Logs von 05:49:43 Uhr

Nach weniger als nur 9 Stunden (über Nacht) war das bereits erledigt !


~Arano
Bitte warten ..
Mitglied: maddoc
03.09.2009 um 00:58 Uhr
Hallo,

sollte das Problem wieder auftreten kann ich dir BotTrap empfehlen. Bei mir hat es sofort geholfen und seit dem hatte ich nie wieder Probleme.

http://www.bot-trap.de/home/

Gruß Oli
Bitte warten ..
Mitglied: maretz
03.09.2009 um 07:56 Uhr
Naja - der Nachteil wenn du den Provider nicht informierst: Diese Spam-Schleudern u.ä. werden weiter betrieben (da ich behaupten würde das rund 75% der betreffenden Rechnern von Leuten betreut werden die grad mal unfallfrei nen Rechner anschalten können) und belasten dann andere Systeme und leitungen...

So werden diese Systeme entweder von dem "Admin" gesäubert oder normal vom Provider ganz hart vom Netz gekickt... Und ganz ehrlich -> mir tut es da wenig leid wenn so ein "Aushilfs-Admin" seinen Server mal eben verliert...
Bitte warten ..
Ähnliche Inhalte
Windows 10
IP sperren?
Frage von knowonWindows 1029 Kommentare

Hallo, wüsste gerne, ob man die IP eines Win 10 PC sperren kann? Einfach ausgedrückt: Ich ändere die IP ...

Monitoring
PRTG Monitoring IP-Bereich
gelöst Frage von supertuxMonitoring7 Kommentare

Hallo, ich habe mir PRTG Monitor installiert, soweit läuft über die Domain-Anmeldung auch alles und die Daten sind auch ...

CPU, RAM, Mainboards

Wer ist besser: Hynix oder Samsung ? (im RAM Bereich)

Frage von lord-iconCPU, RAM, Mainboards1 Kommentar

Hi, ich plane grad mein neues MB. Supermicro schlägt 2 Firmen vor, wo der RAM für's MB tauglich/getestet worden ...

Windows Server

IP Adresse aus ausgeschlossenem Bereich

gelöst Frage von almeraWindows Server3 Kommentare

Hi, ich habe hier ein Class B Netz mit dem Bereich von 172.16.0.0 bis 172.16.254.254 auf einem 2008 R2. ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 4 MinutenHumor (lol)

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 12 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 13 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 16 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...