arano
Goto Top

IP Bereich (1.2.3.X) sperren oder besser nicht ?

Sollte ich den IP-Bereich eines Hosters von dem vermutlich ein Spambot agiert sperren ?

Hallo zusammen,

seit ende letzen Jahres wird ein Webserver, besser gesagt, das Gästebuch der Internetseite die auf dem Server liegt von einem Spambot "heimgesucht". Die Spameinträge habe ich nach kurzer Zeit mit einem Captcha verhindern können, allerdins hat der Bot __nicht__ aufgehört ! Das heisst das seit dem der Server weiterhin mit den Anfragen (GET und POST-Requests) des Bots beschäftigt wird. Die Anfragen laufen auch immer nach dem selben Schema aber in unterschiedlichen intervalen ab:
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "GET /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 5890 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)"
0.0.0.X - - [16/Dec/2008:06:32:39 +0100] "POST /gaestebuch/seite-1/eintragen.html HTTP/1.0" 200 6095 "http://www.example.com/gaestebuch/seite-1/eintragen.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; KTXN)"
Erst der normale GET-Request um den Referrer zu erlangen, gefolgt von dem POST um einen neuen Eintrag zu erstellen. Ich habe gestern Abend mal die Logfiles nach dem IP-Bereich gescannt = >37.000 Treffer !
Die letzte Stelle der IP wechselt jeden Monat wo bei pro Tag bis zu vier IPs im wechsel zu erwarten sind !
Der gesamte Bereich "gehört" laut ripe.net zu einem "Hosting-Center" in der Schweiz.

  1. Eigentlich sollte ich diesen IP Bereich doch sperren können ohne normale Internetbesucher mit auszusperren, oder ?
  2. Macht es Sinn den Hoster darüber zu informieren was "sein Kunde __vermutlich__ anstellt" ? (In der Hoffnung das dieser was dagegen tut)


Einen schönen Abend noch
~Arano

Content-Key: 123455

Url: https://administrator.de/contentid/123455

Printed on: June 22, 2024 at 18:06 o'clock

Member: 1002-btl
1002-btl Aug 25, 2009 at 17:58:40 (UTC)
Goto Top
Hallo,

den IP Bereich manuell sperren könnte schnell zu einer Tagesbeschäftigung werden, da ja die IP's immer wieder wechseln.
Die IP's gehören vielleicht zu einem Botnetz mit vielen PCs und führen dann zu ahnungslosen Privatleuten.
Ich würde zuerst die URL vom Gästebuch ändern, damit die Requests der Bots ins Leere laufen.

Vielleicht könnte es helfen, bereits beim vorangehenden Get Request bei einem ungültigen Referer (außerhalb der eigenen Homepage) dem Bot einen Fehlercode zurück zu liefern (z.B. 404). Das funktioniert aber nur über Scriptsprachen und nicht mit statischen Seiten.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.

Viel Glück
Member: Arano
Arano Aug 25, 2009 at 18:56:01 (UTC)
Goto Top
Hallo 1002-btl

Nee, einzene IPs wollte ich auch nicht sperren ich wollte gleich alle von 1.2.3.0 bis 1.2.3.255 sperren.
Dieser IP-Bereich soll eben zu dem Hoster (nicht Internetprovider) in der Schweiz gehören, darum schätze ich das ich deswegen keine Privatleute treffen würde. Aus der Schweiz werden zwar eh keine Besucher erwartet aber die Zukunft hat viele Überraschungen bereit so das mir eine grundsätzliche Lösung lieber wäre (wenn es sie gibt).

Das ändern der URL ist keine so schlechte Idee, wäre ich vielleicht gar nicht drauf gekommen.

Das mit dem Referrer wirderum funktioniert nicht weil der beim vorangehendem GET immer leer ist und beim folgendem POST der Seiteneigenem URL entspricht.

Ja, einen HTTP-Status senden hatte ich mir auch schon überlegt (arbeite mit PHP) allerdings an der Stelle an der der Eintrag wegen des falschen Captchas nicht gespeichert wird (401, 404, 406, 400 oder einen anderen). Leider wird vorher schon der komplette Kopfbereich der Website ausgegen so das ich keine weiteren Headerinformationen senden kann.
Und wenn der Besucher den Captcha mal falsch ausfüllt und nen 404 bekommt ist das auch nicht gut.

Würde mich auf jeden Fall interessieren, wie dem Spuk ein Ende zu machen ist.
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Wie dem auch sei, das mit der URL werde ich morgen mal in Angriff nehmen und dann beoabachten wielange der Bot braucht das zu verstehen...
*arg* Schlüsselwort "Verstehen", der hat die Seite ja auch gefunden, was sollte ihn davon abhalten die "neue" Seite auch wieder zu finden, werde sie in der Navigation verlinken müssen.

Ich mach mir Morgen mal nen Kopf drüber und überlge was ich einfach mal ausprobieren werden...


Gute Nacht
~Arano
Member: EvilMoe
EvilMoe Aug 25, 2009 at 19:04:47 (UTC)
Goto Top
Warum kommt der Bot überhaupt am Captcha vorbei?
Wäre es nicht einfacher zu schauen warum er das lesen kann? Vielleicht etwas schwieriger machen, oder vielleicht ist ein Fehler Captcha (z.B. Buchstaben sind im Klartext im Quellcode vorhanden etc.)...
Member: dog
dog Aug 25, 2009 at 21:45:39 (UTC)
Goto Top
Ha ! Frag mich mal, das sind immerhin 5.000 bis 12.000 Requests pro Monat.

Die Zahl sollte keinem Apache was ausmachen.
Ein Guter schafft 3k Requests pro Sekunde.

Grüße

Max
Member: maretz
maretz Aug 26, 2009 at 05:15:58 (UTC)
Goto Top
Ich würde erstmal den Auszug aus der Logfile (unverändert!!!) an den Hoster senden. Denn dann wird der schon dafür sorge tragen das derjenige aufhört bzw. seinen Server mal überprüft. Immerhin zahlt der Hoster den Traffic...

Sollte das nicht helfen würde ich gucken ob man jemand anders findet (z.B. abuse-Adresse) der notfalls dem Hoster sogar auf die Finger haut... Allerdings ist es bei mir bisher nie soweit gekommen das ich da nachhaken musste - meist kam sogar sehr schnell nen kleines Entschuldigungs-Schreiben des Hosters mit der Aussage das er sich darum kümmern wird. Und 1-2 Tage später war dann auch ruhe face-smile
Member: Arano
Arano Aug 26, 2009 at 14:58:57 (UTC)
Goto Top
Hallo zusammen.

@EvilMoe:
Nein, der Bot kommt am Captcha nicht vorbei, das funktioniert schon !
Der Punkt ist nur, bei einem falsch gelöstem Captcha gibt man dem Benutzer ja nur Bescheid a lá: "Captcha falsch, probiere es noch mal" und zeigt ihm das Formular mit seinen bisherigen Eingaben. Weil die Seite aber erfolgreich angezeigt wird resultiert das in einem HTTP-Status: "200 OK". Der Benutzer sieht/liest ja das es nicht funktioniert hat, der Bot nicht weil Status 200 = alles OK, also kommt er wieder (ob wohl es eigentlich nichts bringt) !

@dog:
Das sind schon ne menge Anfragen die der verarbeiten kann !
Naja, in der Hinsicht (Serverleistung) bin ich schon immer "ängstlich" gewesen, was ja auch nicht unbedingt schlecht ist ;)
Und Danke für die Info !

@maretz:
Hast das wohl schon ein paar mal mitgemacht, wie !?
Aber das hört sich auch gut an, eigentlich sogar genau das was ich auch gerne hören wollte.
Werde das also gleich mal machen.
Danke für den Hinweis !

@alle:
Ich wollte mir ja noch ein paar Gedanken dazu mache und so tat ich das auch:
  • Also, das sperren der IP / des Bereiches hätte vielleicht geholfen, aber nur gegen diesen einen Bot und sämtliche IP-Bereiche sperren aus denen irgendwann mal ein Bot kommt wird früher oder später damit enden das nur noch local auf den Server zugegriffen werden kann.
  • Das ändern der URL wäre auch nur eine temporäre Lösung gewesen weil auch hier früher oder später der Bot die neue URL gefunden hätte, Und wenn nicht dieser, dann ein anderer.
  • Mir scheint das nur die Methode mit den HTTP-Status-Codes in Frage kommt, als "vorsorge" Schutz damit die Bots gar nicht erst das Interesse an der Seite / dem Formular bekommen. Bei einem falschem Captcha müsste also z.B. erst ein "404 Not Found" für den Bot kommen und anschließend ein "3xx Redirect" mit der Weiterleitung zum bereits vorgefülltem Formular. Funktioniert wenn überhaupt eh nur bei Bots die auch auf den HTTP-Status achten (um keine unnötigen Formulare in ihre Listen aufzunehmen o.ä.).

Ja, so denke ich da gerade drüber, ob es stimmt wird sich noch herausstellen, theoretisch wie technisch und vor allem praktisch.

Ein Dankeschön noch mal an alle für eure Anregungen und Vorschläge, Danke !


~Arano
Member: dog
dog Aug 26, 2009 at 15:21:55 (UTC)
Goto Top
Es gibt auch noch einen weiteren Trick um Bots auszusperren, die die robots.txt ignorieren.
Dazu fügt man unsichtbar eine neue URL in die Seite ein, wobei bei jedem Aufruf die IP gesperrt wird.
Damit man nicht auch Google etc. aussperrt trägt man die URL vorher als Verboten in die robots.txt ein.
Aber das ist auch nur eine halbe Lösung face-smile

Grüße

Max
Member: Arano
Arano Aug 29, 2009 at 11:11:35 (UTC)
Goto Top
Guten Tag, ich noch mal !

Ich dachte ich berichte euch noch davon was aus dem anschreiben des Hosters geworden ist.

AWESOME !
Wie maretz sagte !
Habe eine Mail mit ein paar kurzen Auszügen der Logs, etwas Text (a lá: werde seit X von IPs aus ihrem IP Bbereich "angegriffen", mittlerweile über 34.000 Loglines, bla bla) und eine Datei mit allen vollständigen Einträgen vom August als Anhang um 21:00 Uhr abgeschickt !
Am nächstem Tag wurde bereits um 06:57 Uhr deren Antwort versandt:
Thanks for the information. Necessary measures will be taken A.S.A.P.
Und bis heute ist der letzte Eintrag in den Logs von 05:49:43 Uhr

Nach weniger als nur 9 Stunden (über Nacht) war das bereits erledigt !


~Arano
Member: maddoc
maddoc Sep 02, 2009 at 22:58:22 (UTC)
Goto Top
Hallo,

sollte das Problem wieder auftreten kann ich dir BotTrap empfehlen. Bei mir hat es sofort geholfen und seit dem hatte ich nie wieder Probleme.

http://www.bot-trap.de/home/

Gruß Oli
Member: maretz
maretz Sep 03, 2009 at 05:56:12 (UTC)
Goto Top
Naja - der Nachteil wenn du den Provider nicht informierst: Diese Spam-Schleudern u.ä. werden weiter betrieben (da ich behaupten würde das rund 75% der betreffenden Rechnern von Leuten betreut werden die grad mal unfallfrei nen Rechner anschalten können) und belasten dann andere Systeme und leitungen...

So werden diese Systeme entweder von dem "Admin" gesäubert oder normal vom Provider ganz hart vom Netz gekickt... Und ganz ehrlich -> mir tut es da wenig leid wenn so ein "Aushilfs-Admin" seinen Server mal eben verliert...