Suche

[grafikmurkser]

Hallo,
kann mir jemand sagen was es mit diesem Referer auf sich hat ?
   http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi..
der taucht seit einigen Tagen immer wieder auf..


Hat sich nach dem Auslesen der Logifiles und bissel googlen erledigt.
Das ist offenbar ein, nicht unbekannter, Spambot der versucht reinzukommen.

[grafikmurkser]

langsam macht es sich bemerkbar das pragma keinen "vorgeschalten " schutz hat  .. wie es bei anderen systemen ( und selbst für smf) angeboten wird innerhalb von  10 minuten :
12 mal : http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi
10 mal : http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html
10 mal: http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/Sections-artid-6.html

das sind eindeutig Angriffe von Bots. Mir wurde angeraten die Seite vom Netz zunehmen da unklar ist ob das cms aussreichend geschützt ist.

[Andi]

langsam macht es sich bemerkbar das pragma keinen "vorgeschalten " schutz hat  .. wie es bei anderen systemen ( und selbst für smf) angeboten wird

Und was bewirken die?
Dass man die Seiten nicht mehr über unsinnige URL's aufrufen kann?
Hast mal ein Beispiel?

das sind eindeutig Angriffe von Bots.

Wer sagt das? Und was sollen die Angriffe bewirken?

Mir wurde angeraten die Seite vom Netz zunehmen da unklar ist ob das cms aussreichend geschützt ist.

Der Berater ist gut. Kann der auch weitere Informationen geben, wo er in den referern eine Gefahr sieht?
Ausser dass der Webmaster darauf klickt und seine Seite fehlerhaft angezeigt wird...


In den Logfiles sollte sich die IP der "angreifenden" Bots ermitteln lassen.

[GerhardSt]

Hallo grafikmurkser

solche Aufrufe habe ich auch ab und zu, nur die geben meist relativ schnell wieder auf, wenn sie merken das sie damit nicht weiter kommen

Gerhard

[grafikmurkser]

ab und zu ist gut  .. ich hab seid vorgestern  über 5000 ( fünftausend ) solcher zugriffe
unteranderem weil das "sperren" der IP - im adminbereich dafür völlig unzureichend ist ... zumal sich die IPs erst am nächsten tag über die logifiles auslesen lassen  - in der tabelle visitors tauchen die garnicht auf

Der Berater ist gut. Kann der auch weitere Informationen geben, wo er in den referern eine Gefahr sieht?
Ausser dass der Webmaster darauf klickt und seine Seite fehlerhaft angezeigt wird...

es sind IP`s die für DoS-Attacken berühmt sind
Und Andi  - zu der frage was "vorgeschalteter" schutz macht .. tjo was zB macht NukeSentinel ? .....
zB bots abwehren .
eine ähnliche wirkung dürfte dieses tool haben :
http://custom.simplemachines.org/mods/index.php?mod=1599 bei botscout sind bereits einige der IP`s die bei mir auftauchten "bekannt" .. zB
http://botscout.com/search.htm?sterm=93.190.142.78&stype=q

[GerhardSt]

Und was hälst du von Bot-Trap

[grafikmurkser]

Bot-Trap hat die eigenschaft  nicht bei all-inkl. zu funktionieren  -

[GerhardSt]

Bist du dir sicher das, das noch aktuell ist?
Kenne leider die genaue Ursache nicht.
Aber ich habe dazu gerade mal diesen Post im Bot-Trap-Forum gefunden, und die Domain getestet: Ergebniss Domain ist geschützt und ist auch bei all-inkl.

[Oscar175]

Du zählst wohl meine IP auch zu den Bots, denn mich hast du auch gesperrt 
Wollte gerade deine geposteten Links testen, was da genau passiert.
LG

[grafikmurkser]

hmmmmm inzwischen ist ( durch eine kleine änderung am script) bot-trap lauffähig  .. währe gut zu wissen ob du jetzt durch meine ip-sperrung oder durch bot-trap ausgesperrt wurdest .

[Oscar175]

Ich glaube von dir, durch die IP Sperre im Admin Bereich. Erhalte folgende Meldung:

Apophysis - Schmiede
Du wurdest vom AdminTeam kurzfristig gesperrt!
Wenn Du Genaueres wissen möchtest, setze Dich bitte, mit dem Team in Verbindung.
info [at] fraktal-schmiede . de

LG

[grafikmurkser]

Hallo, müsste jetzt aber gehen  .....

[Andi]

weil das "sperren" der IP - im adminbereich dafür völlig unzureichend ist

Stimmt, so wie fast alle ip-perren in der heutigen Zeit recht unsinnig sind.

umal sich die IPs erst am nächsten tag über die logifiles auslesen lassen

Provider fragen, bei uns geht das....

es sind IP`s die für DoS-Attacken berühmt sind

Was ist berühmt... Ich kenn die nicht. Und das was da bei dir aufläuft ist sicher keine dos attacke.

tjo was zB macht NukeSentinel ? zB bots abwehren .

Jop, und tausende "unschuldige" Besucher gleich mit. Mit meinen IP's von 1+1 kann ich auf fast keine Nuke Seite mehr zugreifen.
Ansonsten war Sentinel zumindest früher nur ein Schutz für nuke, weil der ehemalige Coder es nicht selbst hingebracht hat, sein CMS abzusichern....


Wie oben schon angedeutet halte ich nicht mehr viel von irgendwelchen ip-Sperrungen. Mit ein Grund warum wir hier auch kein Bot-Trap mehr einsetzen. Es wurden viele Besucher aus dem Ausland unnötig geblockt.
Das lässt sich mit solchen Schutzmechanismen nicht ausschliessen. Wer damit leben kann, dem sei bot-Trap empfohlen.

Im Internet gibt es massenweise Seiten, die versuchen automatisch Sicherheitslücken von bestimmten Scripten auszunutzen. So werden dann auf pragmaMx alle möglichen joomla, nuke und Coppermine Attacken losgeschossen, die sich aber NULL auswirken.
Ausser dass sich die logfiles füllen und evtl. die referer vollgemüllt werden, passiert da garnix.

Wichtig ist nicht der Aufruf der Seite, sondern was mit den übergebenen Parametern passiert.
pragmaMx setzt auf innere Sicherheit, nicht auf das drumrum.


edit:
geil, jetzt habe ich etwas rumgeklickt und bin auch gesperrt. 92.194.121.37 bin ich, kein bot....
Wird jetzt jeder, der die Links hier im thread anklickt gesperrt...

[grafikmurkser]

nein Andi, ich kenn mich der Empfehlung für Bot-Trap NICHT anschliessen ...
Ich hab mir die Mühe gemacht und jetzt  im Minutentakt die Referer im Adminbereich angeschaut. 10 Minuten lang. Innerhalb nur einer Minute gab es 6 Einträge wie oben beschrieben. Alle von einer IP . Diese IP intressiert Bot-Trap garnicht denn :

Die IP 92.194.121.37 befindet sich auf der Whitelist und kann nicht gesperrt werden.

Ansonsten .. Dein Wort  in Gottes Ohr ...

[Andi]

.....
edit:
geil, jetzt habe ich etwas rumgeklickt und bin auch gesperrt. 92.194.121.37 bin ich, kein bot....
Wird jetzt jeder, der die Links hier im thread anklickt gesperrt...

Vermutlich wirst du diese Einträge jetzt nie wieder los, weil die links schon im Google-Cache und weiss Gott wo gelistet sind....

[Oscar175]

Okay, bei mir funktioniert es wieder.
Vielleicht beruhigt es sich bei dir wieder, wenn die Bots merken, dass sie nicht weit kommen (falls die so schlau sind)

LG

[Andi]

Mal was anderes....

Wenn meine IP auch mit einem Referer von deiner Seite auftaucht, dann spinnt doch da was.
Hast du irgendwelche Umleitungen in der .htaccess, oder sonstwo definiert?
Oder spinnt da evtl. der Webseitenübersetzer, der produziert ja auch so komische URL's die evtl. auch in den referern auftauchen...

[GerhardSt]

Was mir jetzt erst aufgefallen ist, warum wird bei dir in einer URL deine Seite 2x aufgerufen?
Wenn das ein Bot ist, will der normalerweise etwas von einer anderen Seite laden, ist zumindest bei mir so.

http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi

Kann es sein das du da irgendetwas umgecodet hast, was diesen Fehler verursacht?

[grafikmurkser]

Andi ich versteh nicht ganz was Du meinst. Und nein ich hab keine Umleitungen in der htacess...ausser mod-rewrite
und was meinst du mit websitenübersetzer ? die online-transaltionservices von google und babelfish ? die sind eindeutig zuerkennen.

[grafikmurkser]

Was mir jetzt erst aufgefallen ist, warum wird bei dir in einer URL deine Seite 2x aufgerufen?
Wenn das ein Bot ist, will der normalerweise etwas von einer anderen Seite laden, ist zumindest bei mir so.

http://fraktal-schmiede.de/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi

Kann es sein das du da irgendetwas umgecodet hast, was diesen Fehler verursacht?

nein und es sind Bots.... einige  der IP`s sind zB bei BotScout eingetragen . Witzigerweise auch IPs die bei Bot-Trap in der weissen liste stehen  *g

kleine Ergänzung ..  wohin die "zweite" domain geht kann man hier  schlecht sehen  .. Meist auf eine Seite auf der man posten kann ( Contents, Galerie... usw )
oder ganz woanders hin
hier mal einige vollständige:

/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/favicon.ico  ( sehr witzig *g)
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/images/forum/avatar/blank.gif (auch nicht schlecht)
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/fraktal-schmi/themes/mx-darkbreak/style/style.css
/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html