seite ohne styles

danielf · 17 Februar 2009, 22:28:15

Hallo Zusammen,

hab da n kleines Problem, was mich verwundern lässt, komme einfach nicht dahinter

in meiner liste http referrer werden seit kurzem solche links angezeigt, als ob user auf diese seite kommen, wo keinerlei styles existieren, wie kommt das?

hier mal ein beispiel:

http://www.potsdamnews.de/register-me.html%27%27%27/themes/mx-outline/images/dot.gif

oder

http://www.potsdamnews.de/register-me.html%27%27%27/Impressum.html

abendlichen Gruß, Daniel

grafikmurkser · 20 Februar 2009, 06:38:13

kurze zwischenfrage .. kann man da den ganzen referrer - link mal sehen oder steht nur das bei http referrer drin ?

danielf · 20 Februar 2009, 11:20:19

exakt so, wie ich die Links hier eingefügt habe, sind diese zu sehen

http://www.potsdamnews.de/register-me.html%27%27%27/themes/mx-outline/images/dot.gif

http://www.potsdamnews.de/register-me.html%27%27%27/Impressum.html

http://www.potsdamnews.de/register-me.html%27%27%27/themes/mx-outline/images/home.html

so die Links untereinander in der pragmamx - sicherheit - httpreferrer liste

danielf · 18 April 2009, 13:42:40

Andi · 18 April 2009, 13:54:19

Moin

ich habe da gerade ne Idee, bzw. Spur, ist vermutlich was ganz einfaches u. primitives....
Das prüfe ich heute Abend nach und melde mich dann

Grafikmurkser hatte übrigens ein ähnliches Problem:
http://www.pragmamx.org/Forum-topic-29080.html

danielf · 18 April 2009, 14:43:33

super, ich danke Dir

grafikmurkser · 18 April 2009, 18:49:44

jo wenn Du willst schick ich Dir Referer-Sperrcodes, die in die htacess müssen..
Dienste wie Bot-Trap kannst vergessen .....

Andi · 19 April 2009, 02:06:05

Hoi

also das Problem ist wirklich primitiv.
Aber die Lösung gestaltet sich recht kompliziert, dass es auf allen Servern funktioniert.

Ich bin aber dran, die Änderung soll noch in die 0.1.11 rein....

Nur soviel: mit refererspam hat das nix zu tun

Andi · 19 April 2009, 11:54:26

So, war jetzt vermutlich doch einfacher als Gedacht, die Lösung.

Vorher etwas Allgemeines dazu.
Die komischen Links können entstehen, wenn man die Seite mit verfälschter URL aufruft. Das muss keine Absicht (Spammer) sein. Es kann auch passieren, wenn die Seite einfach nur durch eine Unachtsamkeit oder einen Fehler in einem Script falsch verlinkt wird.
So wie dieses Beispiel hier: <a href="http://www.cloneportal.de/register-me.html'''">link</a>

Wenn man diesem Link jetzt folgt, wird die Seite ganz normal angezeigt. Fährt man aber dort mit der Maus über die Links sieht man in der Statusleiste des Browsers, dass die Links verfälscht wurden. z.B.:
# http://www.cloneportal.de/register-me.html'''#search
# http://www.cloneportal.de/register-me.html'''/Content.html
# http://www.cloneportal.de/register-me.html'''/Downloads.html
# http://www.cloneportal.de/register-me.html'''/Impressum.html

Der verfälschte Dateiname wird als Unterordner in die URL aufgenommen.

Klickt man sich jetzt durch die Seite und folgt diesen Links, dann wird die Seite wie beschrieben ohne Styles angezeigt. Die Stylesheets werden nicht geladen, weil sie im nicht vorhandenen Unterordner gesucht werden. Der Aufruf sieht so aus: http://www.cloneportal.de/register-me.html%27%27%27/themes/element/style/style.css und das gibts halt nicht...

Weiterer Effekt durch den "angenommenen" Unterordner ist, dass jetzt alle in der Seite enthaltenen Elemente, ebenfalls in dem Unterordner gesucht werden: http://www.cloneportal.de/register-me.html%27%27%27/images/language/flag-german.png . Die Bilder werden z.B. nicht gefunden.
Durch mod_rewrite wird aber http://www.cloneportal.de/register-me.html auf die modules.php umgeleitet, was wiederum dazu führt, dass diese ganzen Einträge in der Referer Liste erscheinen.
Also kein Spammer, sondern eine Verkettung ungünstiger Umstände, bzw. tatsächlich z.T. ein Fehler in unserer Standard mod_rewrite .htaccess.

Einfache Lösung:

In der .htaccess, die in pragmaMx für mod_rewrite mitgeliefert wird, finden sich folgende Einträge:

Code Auswählen

# individuelle Rewrite-Regeln:
RewriteRule ^home\.htm(l?) index.php [L]

# Your_Account Modul:
RewriteRule ^register-me\.htm(l?) modules.php?name=User_Registration [L]
RewriteRule (^myaccount|^log-me-in)\.htm(l?) modules.php?name=Your_Account [L]
RewriteRule ^log-me-out\.htm(l?) modules.php?name=Your_Account&op=logout [L]
RewriteRule ^mydata\.htm(l?) modules.php?name=Your_Account&op=edituser [L]
RewriteRule ^mysettings\.htm(l?) modules.php?name=Your_Account&op=edithome [L]

Hier sehen wir u.A. den Eintrag für register-me.html, aus dem Beispiel.
^register-me\.htm(l?) bedeutet, dass alle Aufrufe, die mit register-me.htm oder register-me.html beginnen, auf das User_Registration Modul umgeleitet werden.
Beginnen!! also auch register-me.html''', wo ja noch was dranhängt. Das darf nicht sein, denn eine HTML-Datei mit dem Namen register-me.html''' gibt es nicht und als Modulaufruf soll dieser Aufruf auch nicht gelten.

Die rewrite Regel muss in so fern geändert werden, dass alles was hinter .html kommt, entweder ignoriert wird, bzw. wenn was dran hängt, der Server einen Fehler zurückgibt (404).
Das erreicht man so:

Code Auswählen

RewriteRule ^register-me\.html$ modules.php?name=User_Registration [L] Zauberzeichen ist dabei der Dollar $

Die Zeilen der .htaccess sollten also wie folgt geändert werden:

Code Auswählen

# individuelle Rewrite-Regeln:
RewriteRule ^home\.html$ index.php [L]

# Your_Account Modul:
RewriteRule ^register-me\.html$ modules.php?name=User_Registration [L]
RewriteRule (^myaccount|^log-me-in)\.html$ modules.php?name=Your_Account [L]
RewriteRule ^log-me-out\.html$ modules.php?name=Your_Account&op=logout [L]
RewriteRule ^mydata\.html$ modules.php?name=Your_Account&op=edituser [L]
RewriteRule ^mysettings\.html$ modules.php?name=Your_Account&op=edithome [L]

Jetzt gibt es noch solche Fehlaufrufe: http://www.cloneportal.de/IRGEND_EIN_MIST_DEN_ES_NICHT_GIBT/register-me.html.
Folgt man dem Link, wird die Seite ebenfalls kurz ohne Styles angezeigt, bevor weitergeleitet wird. Auch von diesen Aufrufen werden sich massenweise unsinnige Einträge in den Referern finden.

Gegen den Aufruf kann man nichts machen, ist ja auch nichts schlimmes, anstellen kann man damit nichts.
Eine Lösung dafür habe ich gerade in Arbeit. In pragmaMx 0.1.11 wird das dann wahrscheinlich drin sein....

PS:
die oben genannten Links auf cloneportal.de, lassen sich genau so im Moment auch auf danielf's Seite nachvollziehen.
http://www.potsdamnews.de/register-me.html'''
Nur wird er ja jetzt das Problem beheben und dann würden die Beispiele fehlen

Auf cloneportal.de lass ich das jetzt mal so, bis zum erscheinen der 0.1.11...

PS 2:
Das ist vermutlich genau das gleiche Problem was auch Grafikmurkser hatte: http://www.pragmamx.org/Forum-topic-29080.html
Nur waren wir zu sehr auf die bösen Spammer eingeschossen. Im Prinzip hatten aber die bot-trap Leute recht, es liegt hauptsächlich am mod_rewrite des eingesetzten CMS....

danielf · 22 April 2009, 14:59:08

@grafikmurkser
vielen Dank,
nur die liste störte mich nicht, eher der Gedanke, dass diese hässlichen Seiten wirklich ein User zu Gesicht bekommt, das wäre dann nicht nett

Vielen Dank für die Hilfe und sehr ausführlichen Erklärungen!

Konnte mir nicht wirklich vorstellen, dass es sich wirklich nur um bots handeln sollte. Vor allem da dies so massiv auftrat, kurz nachdem ich nicht wenigen Usern die Seite weiter empfohlen hatte.

Jetzt ist jedenfalls immer 404, und ich schaue mal dass ich eine ordentliche Fehlerseite hinbekomme, evtl. gar mit einer Weiterleitung auf die index. Das Modul hier "fehlerseiten" konnte mir nicht wirklich weiter helfen, blicke da nicht ganz durch und einfach den gesamten Inhalt hochladen und aktivieren ist mir zu riskant.

Vielen Dank & Grüße