[Solved] eigenartiger Referer...

Begonnen von grafikmurkser, 04 April 2009, 10:19:14

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

grafikmurkser

Hallo,
kann mir jemand sagen was es mit diesem Referer auf sich hat ?
   http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi..
der taucht seit einigen Tagen immer wieder auf..


Hat sich nach dem Auslesen der Logifiles und bissel googlen erledigt.
Das ist offenbar ein, nicht unbekannter, Spambot der versucht reinzukommen.
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

grafikmurkser

langsam macht es sich bemerkbar das pragma keinen "vorgeschalten " schutz hat  .. wie es bei anderen systemen ( und selbst für smf) angeboten wird innerhalb von  10 minuten :
12 mal : http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi
10 mal : http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html
10 mal: http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/Sections-artid-6.html

das sind eindeutig Angriffe von Bots. Mir wurde angeraten die Seite vom Netz zunehmen da unklar ist ob das cms aussreichend geschützt ist.
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Andi

Zitatlangsam macht es sich bemerkbar das pragma keinen "vorgeschalten " schutz hat  .. wie es bei anderen systemen ( und selbst für smf) angeboten wird
Und was bewirken die?
Dass man die Seiten nicht mehr über unsinnige URL's aufrufen kann?
Hast mal ein Beispiel?

Zitatdas sind eindeutig Angriffe von Bots.
Wer sagt das? Und was sollen die Angriffe bewirken?

ZitatMir wurde angeraten die Seite vom Netz zunehmen da unklar ist ob das cms aussreichend geschützt ist.
Der Berater ist gut. Kann der auch weitere Informationen geben, wo er in den referern eine Gefahr sieht?
Ausser dass der Webmaster darauf klickt und seine Seite fehlerhaft angezeigt wird...


In den Logfiles sollte sich die IP der "angreifenden" Bots ermitteln lassen.
schön´s Grüssle, Andi

GerhardSt

Hallo grafikmurkser :smile:

solche Aufrufe habe ich auch ab und zu, nur die geben meist relativ schnell wieder auf, wenn sie merken das sie damit nicht weiter kommen :BD:

:bye: Gerhard

grafikmurkser

#4
ab und zu ist gut  .. ich hab seid vorgestern  über 5000 ( fünftausend ) solcher zugriffe
unteranderem weil das "sperren" der IP - im adminbereich dafür völlig unzureichend ist ... zumal sich die IPs erst am nächsten tag über die logifiles auslesen lassen  - in der tabelle visitors tauchen die garnicht auf
ZitatDer Berater ist gut. Kann der auch weitere Informationen geben, wo er in den referern eine Gefahr sieht?
Ausser dass der Webmaster darauf klickt und seine Seite fehlerhaft angezeigt wird...
es sind IP`s die für DoS-Attacken berühmt sind
Und Andi  - zu der frage was "vorgeschalteter" schutz macht .. tjo was zB macht NukeSentinel ? .....
zB bots abwehren .
eine ähnliche wirkung dürfte dieses tool haben :
http://custom.simplemachines.org/mods/index.php?mod=1599 bei botscout sind bereits einige der IP`s die bei mir auftauchten "bekannt" .. zB
http://botscout.com/search.htm?sterm=93.190.142.78&stype=q
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

GerhardSt

Und was hälst du von Bot-Trap ;)

grafikmurkser

Bot-Trap hat die eigenschaft  nicht bei all-inkl. zu funktionieren  -
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

GerhardSt

Bist du dir sicher das, das noch aktuell ist? :gruebel:
Kenne leider die genaue Ursache nicht.
Aber ich habe dazu gerade mal diesen Post im Bot-Trap-Forum gefunden, und die Domain getestet: Ergebniss Domain ist geschützt und ist auch bei all-inkl.

Oscar175

Du zählst wohl meine IP auch zu den Bots, denn mich hast du auch gesperrt  ;)
Wollte gerade deine geposteten Links testen, was da genau passiert.
LG

grafikmurkser

#9
hmmmmm inzwischen ist ( durch eine kleine änderung am script) bot-trap lauffähig  .. währe gut zu wissen ob du jetzt durch meine ip-sperrung oder durch bot-trap ausgesperrt wurdest .
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Oscar175

Ich glaube von dir, durch die IP Sperre im Admin Bereich. Erhalte folgende Meldung:

Apophysis - Schmiede
Du wurdest vom AdminTeam kurzfristig gesperrt!
Wenn Du Genaueres wissen möchtest, setze Dich bitte, mit dem Team in Verbindung.
info [at] fraktal-schmiede . de

LG

grafikmurkser

Hallo, müsste jetzt aber gehen  .....
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Andi

#12
Zitatweil das "sperren" der IP - im adminbereich dafür völlig unzureichend ist
Stimmt, so wie fast alle ip-perren in der heutigen Zeit recht unsinnig sind.

Zitatumal sich die IPs erst am nächsten tag über die logifiles auslesen lassen
Provider fragen, bei uns geht das....

Zitates sind IP`s die für DoS-Attacken berühmt sind
Was ist berühmt... Ich kenn die nicht. Und das was da bei dir aufläuft ist sicher keine dos attacke.

Zitattjo was zB macht NukeSentinel ? zB bots abwehren .
Jop, und tausende "unschuldige" Besucher gleich mit. Mit meinen IP's von 1+1 kann ich auf fast keine Nuke Seite mehr zugreifen.
Ansonsten war Sentinel zumindest früher nur ein Schutz für nuke, weil der ehemalige Coder es nicht selbst hingebracht hat, sein CMS abzusichern....


Wie oben schon angedeutet halte ich nicht mehr viel von irgendwelchen ip-Sperrungen. Mit ein Grund warum wir hier auch kein Bot-Trap mehr einsetzen. Es wurden viele Besucher aus dem Ausland unnötig geblockt.
Das lässt sich mit solchen Schutzmechanismen nicht ausschliessen. Wer damit leben kann, dem sei bot-Trap empfohlen.

Im Internet gibt es massenweise Seiten, die versuchen automatisch Sicherheitslücken von bestimmten Scripten auszunutzen. So werden dann auf pragmaMx alle möglichen joomla, nuke und Coppermine Attacken losgeschossen, die sich aber NULL auswirken.
Ausser dass sich die logfiles füllen und evtl. die referer vollgemüllt werden, passiert da garnix.

Wichtig ist nicht der Aufruf der Seite, sondern was mit den übergebenen Parametern passiert.
pragmaMx setzt auf innere Sicherheit, nicht auf das drumrum.



edit:
geil, jetzt habe ich etwas rumgeklickt und bin auch gesperrt. 92.194.121.37 bin ich, kein bot....
Wird jetzt jeder, der die Links hier im thread anklickt gesperrt...
schön´s Grüssle, Andi

grafikmurkser

nein Andi, ich kenn mich der Empfehlung für Bot-Trap NICHT anschliessen ...
Ich hab mir die Mühe gemacht und jetzt  im Minutentakt die Referer im Adminbereich angeschaut. 10 Minuten lang. Innerhalb nur einer Minute gab es 6 Einträge wie oben beschrieben. Alle von einer IP . Diese IP intressiert Bot-Trap garnicht denn :
ZitatDie IP 92.194.121.37 befindet sich auf der Whitelist und kann nicht gesperrt werden.
Ansonsten .. Dein Wort  in Gottes Ohr ...
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Andi

Zitat von: Andi am 05 April 2009, 18:28:27
.....

edit:
geil, jetzt habe ich etwas rumgeklickt und bin auch gesperrt. 92.194.121.37 bin ich, kein bot....
Wird jetzt jeder, der die Links hier im thread anklickt gesperrt...

Vermutlich wirst du diese Einträge jetzt nie wieder los, weil die links schon im Google-Cache und weiss Gott wo gelistet sind....
schön´s Grüssle, Andi

Oscar175

Okay, bei mir funktioniert es wieder.
Vielleicht beruhigt es sich bei dir wieder, wenn die Bots merken, dass sie nicht weit kommen (falls die so schlau sind)

LG

Andi

Mal was anderes....

Wenn meine IP auch mit einem Referer von deiner Seite auftaucht, dann spinnt doch da was.
Hast du irgendwelche Umleitungen in der .htaccess, oder sonstwo definiert?
Oder spinnt da evtl. der Webseitenübersetzer, der produziert ja auch so komische URL's die evtl. auch in den referern auftauchen...
schön´s Grüssle, Andi

GerhardSt

Was mir jetzt erst aufgefallen ist, warum wird bei dir in einer URL deine Seite 2x aufgerufen?
Wenn das ein Bot ist, will der normalerweise etwas von einer anderen Seite laden, ist zumindest bei mir so.
Zitathttp://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi

Kann es sein das du da irgendetwas umgecodet hast, was diesen Fehler verursacht?

grafikmurkser

Andi ich versteh nicht ganz was Du meinst. Und nein ich hab keine Umleitungen in der htacess...ausser mod-rewrite
und was meinst du mit websitenübersetzer ? die online-transaltionservices von google und babelfish ? die sind eindeutig zuerkennen.


meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

grafikmurkser

#19
Zitat von: GerhardSt am 05 April 2009, 19:23:53
Was mir jetzt erst aufgefallen ist, warum wird bei dir in einer URL deine Seite 2x aufgerufen?
Wenn das ein Bot ist, will der normalerweise etwas von einer anderen Seite laden, ist zumindest bei mir so.
Zitathttp://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi

Kann es sein das du da irgendetwas umgecodet hast, was diesen Fehler verursacht?
nein und es sind Bots.... einige  der IP`s sind zB bei BotScout eingetragen . Witzigerweise auch IPs die bei Bot-Trap in der weissen liste stehen  *g

kleine Ergänzung ..  wohin die "zweite" domain geht kann man hier  schlecht sehen  .. Meist auf eine Seite auf der man posten kann ( Contents, Galerie... usw )
oder ganz woanders hin
hier mal einige vollständige:
Zitat/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/favicon.ico  ( sehr witzig *g)
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/images/forum/avatar/blank.gif (auch nicht schlecht)
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi/themes/mx-darkbreak/style/style.css
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html

meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000