[Solved] eigenartiger Referer...

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[Andi]

nein und es sind Bots.... einige  der IP`s sind zB bei BotScout eingetragen . Witzigerweise auch IPs die bei Bot-Trap in der weissen liste stehen  *g

Genauso wie meine IP (oder der ganze ip-range) irgendwann mal bei bot-trap als schädlich eingetragen war....

Was ist denn BotScout?
Vom Prinzip nichts anderes als bot-trap. Irgend einer macht mit einer IP was "böses". Das wird dort gemeldet und die ip gesperrt.
Mit dem Unterschied, dass bei bot-trap die Einträge anscheinend besser geprüft werden und deswegen meine ip wieder bereinigt wurde....
Nur weil bei BotScout eine IP eingetragen ist, heisst das noch lange nicht, dass das ein bot ist. Und nicht jeder bot ist schädlich. Jede Suchmaschine ist ein Bot.... Das ganze Thema wird m.M. durch Sch**sshausparolen völlig verquert und ins Absurde gezogen. Irgendwann ist das ganze Internet gesperrt....

und was meinst du mit websitenübersetzer

Jop, die meinte ich.

hier mal einige vollständige:

Die kannst du hier auch haben:
http://www.pragmamx.org/home.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/home.html
Schau dir dann mal die generierten Links, bzw. den Quelltext an...

Das liegt am Prinzip der mod_rewrite Umschreibung und ist kein Angriff.
Da braucht man die Seite nur einmal in der Art irgendwo verlinken und die Besucher klicken da rum

[GerhardSt]

Bot-Trap hat den Fehler schon eingesehen, und gibt deswegen die IP´s nach einer gewissen Zeit wieder frei, wenn diese nicht mehr vom Script zurückgemeldet werden
Das System ist zwar noch immer nicht ganz ausgereift, aber funktioniert meiner Meinung schon recht gut.

[grafikmurkser]

danke Andi für die Info 
stellt sich jetzt die Frage: was kann man da machen ?

[Andi]

stellt sich jetzt die Frage: was kann man da machen ?

In erster Linie ruhig Blut bewahren
Entweder ignorieren, oder wenn man mit eventuellen "Fehlsperrungen" leben kann, bot-trap einsetzen.


Ich hatte letztes Jahr mal versuchsweise auf der Demoseite etwas in die .htaccess eingebaut, was uns die ständigen dumm-nuke-hacks vom Leib halten soll, die uns hier im Sekundenabstand belästigen. Das ganze fragt einfach nur gefährlich anmutende url-Parameter ab und leitet wenn was erkannt wird auf eine dummy-Seite weiter, wo der Zugriff geloggt wird.
Habe da noch nicht weiter gemacht, aber die Zahlen sind schon recht interessant.

Seit 27.01.2008 01:00h wurden 1.181.013 Zugriffe geloggt.

Die letzten sehen so aus:

Code: [Select]  

log_time                remote_addr     query_string                                     agent
2009-04-05 20:32:37 95.208.45.184 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:31:53 91.89.38.17 id=http://schoolpapers.hostinginfive.com/bike.htm?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:31:11 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:28:05 77.221.130.12 path=http://forgottentreasures.net/advguestbook/he...   libwww-perl/5.805
2009-04-05 20:28:05 77.221.130.12 path=http://forgottentreasures.net/advguestbook/he...   libwww-perl/5.805
2009-04-05 20:27:04 206.220.64.3 _REQUEST=&_REQUEST[option]=com_content&_REQUEST[It...   libwww-perl/5.805
2009-04-05 20:26:53 81.173.235.75 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:26:30 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:25:56 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:25:30 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:53 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:51 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:24:26 77.221.130.18 poc_root_path=../../../../../../../../../../../../...   libwww-perl/5.805
2009-04-05 20:24:18 77.221.130.18 poc_root_path=http://anggey.selfip.com/har/id.txt?...   libwww-perl/5.805
2009-04-05 20:23:45 78.43.195.201 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...
2009-04-05 20:23:42 66.230.213.52 dir[inc]=http://www.laretouche.fr//administrator/b...   Mozilla/5.0
2009-04-05 20:23:41 78.43.163.4 id=http://mypregnancy.orgfree.com/index.html?   Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;...

Man sieht, da ist innerhalb weniger Minuten alles vertreten, von Hackern bis Spammer....

Wer die Umleitung in seiner .htaccess auch verwenden will:

Code: [Select]  

### goodboy ###################
# versch. Hacker abwehren
#                             path           | dir        | language           
RewriteCond %{QUERY_STRING} ([Pp][Aa][Tt][Hh]|[Dd][Ii][Rr]|[Gg][Uu][Aa][Gg][Ee]|root|open|mod|page|seite|file|error|action|style|\])=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} ^([xlu]|lan|id)=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} include.*[a-zA-Z]=(ht|f)tps?:// [OR]
RewriteCond %{QUERY_STRING} cd%20/[a-zA-Z0-9_.] [NC]
RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]

RewriteCond %{HTTP_USER_AGENT}  ^libwww-perl.* [OR]
RewriteCond %{QUERY_STRING} lol\.txt [OR]
RewriteCond %{QUERY_STRING} turkmirc [OR]
RewriteCond %{QUERY_STRING} select.*nuke_(users|authors) [NC]
RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]

#RewriteCond %{REQUEST_FILENAME} .*(forum|forums|phpbb|phpbb2|board)/.*
#RewriteRule .* http://goodboy.pragmamx.eu/ [L,R=301]
### goodboy end ###############

Auf http://goodboy.pragmamx.eu/ läuft nur das Logging und man bekommt nen 404er...
Anstatt dessen könnte man auch sonstwo hinleiten.

[grafikmurkser]

aha , dankeschön .. hmm wie sieht die dummy-seite aus ? hat sie spezielle schreibrechte ?? oder könnte ich die logs auch woanders hinschreiben lassen ? in eine log-datei ?

[Andi]

Das logging ist ein spezielles Script auf der Dummy-Seite. Das möchte ich so nicht veröffentlichen.

Man kann entweder, auch dorthin leiten, dann sammeln wir die Daten gemeinsam, oder man bastelt einfach ne eigene Fehlerseite, auf die geleitet wird. Oder man leitet zum Bundeskriminalamt um, oder sowas....

[grafikmurkser]

na dann nehm ich deine dummyseite .. und schmeiss den bottrap wieder raus, der hat schon ein bot gesperrt, den ich selbst "aktiviert " hab ( internetseer..)
danke für die hilfe 

edit: so , eingebaut...

[comedi]

@Andi,

man bastelt einfach ne eigene Fehlerseite,

Brauche ich dort kein zusätzliches Script zum sammeln?

[Andi]

Wenn man die Umleitung auf http://goodboy.pragmamx.eu/ belässt, werden die Angriffe dort mitgesammelt.

[reddragon]

Oder man leitet zum Bundeskriminalamt um, oder sowas....

Na dann freut sich der Bundes-Schäuble

[grafikmurkser]

Hallo und GuMo Andi, erstmal vielen Dank nochmal für den Code, von dem sicher einige pragma-User profitieren werden
Leider ist damit aber noch nicht geklärt woher die doppelte URL kommt ..
Bei bot-trap hat man sich darauf eingeschossen, das es am cms/ der htacess liegt. Hinweise darauf das es innerhalb von  48 Stunden zu über 5000 Zugriffen in der selben Art kam wurden schlicht ignoriert (meine Seite kommt normal nie zu solchen "Zugriffzahlen" - schon garnicht auf so wirre Url`s wie diese:

/register-me.html%2B%255BPLM=0%255D%255BR%255D%2BGET%2Bhttp:/favicon.ico 

die dann auch noch 200 mal aufgerufen werden.
Bei bot-trap erhielt ich zB diese Antwort:

das spielt doch keine Rolle ob man es auf deiner Seite erzeugen kann oder nicht.
tatsache ist das dein CMS zulässt das beliebige Zeichenketten angehängt werden
und genau das ist der Knackpunkt - du musst per Rules in der htaccess verhindern
das irgendwas nach .html angehängt werden kann!

Was müsste ich da für eine Regel schreiben damit dies nicht passiert. Wenn dies überhaupt so stimmt

[grafikmurkser]

@ Andi  ..  wegen meiner letzten PM .. es funktioniert ! Die laufen jetzt alle auf eine mx-Error-Seite

[grafikmurkser]

kann geschlossen werden. ich hab eine möglichkeit gefunden die spamreferer zu sperren. 
falls jetzt welche an b-t / page-restrictor denken - nein , damit geht es nicht.. da man dort riesen probleme hat die referer als spam einzustufen, man hatte dort gar erst die behauptung aufgestellt das das mod_rewrite des eingesetzten cms dafür verantwortlich ist .
später wurde allerdings  bestätigt das es sich um commandozeilen für spambots handelt , welche "durchgereicht" werden. sehr eigenartig das ganze. für mich ist das thema b-t jedenfalls erledigt