| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
dextar
Newbie
Anmeldungsdatum: Feb 07, 2006
Beiträge: 9
|
 Verfasst am: Mi März 07, 2007 1:15 am Titel: Harvest gezielt blocken? |
 |
|
Hallo,
ich habe ein Problem mit ein ganz bestimmten Harvest, der immer mit dem selben String-Angaben aber mit einer ständig wechselnden IP geblockt wird, was mir nicht nur mein Postfach sondern auch meine DB zustopft. Der Harvest wird auch korrekt vom Sentinel erkannt und geblockt, nur sind das teilweise bis zu 15 Meldungen und mehr am Tag.
Datum & Uhrzeit: 2007-03-06 19:38:12 CET GMT +0100 Gesperrte IP: 70.85.85.132
Benutzer-ID: Anonymous (1)
Grund: Abuse-Harvest
String-Übereinstimmung: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98 )
--------------------
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98 )
Query-String: Hinweis: Nur registrierte Benutzer haben die Möglichkeit in diesem Forum "Links" zu sehen!
Bitte Registrieren oder Einloggen - Danke! |
Get String: Hinweis: Nur registrierte Benutzer haben die Möglichkeit in diesem Forum "Links" zu sehen!
Bitte Registrieren oder Einloggen - Danke! |
Post String: Hinweis: Nur registrierte Benutzer haben die Möglichkeit in diesem Forum "Links" zu sehen!
Bitte Registrieren oder Einloggen - Danke! |
...
Das was danach folgt, möchte ich hier nicht unbedingt posten, da es eine Ansammlung von pornografischen Links darstellt.
...
Client-IP: none
Entfernte Adresse: 70.85.85.132
Entfernter Port: 52864
Anfrage-Methode: POST
Es handelt sich hierbei um ein altes Gästebuch-Modul (GbookMX2.0), was ich bereits vor einigen Monaten durch einen Wechsel auf eine aktuellere Nuke-Version komplett vom Server gelöscht habe, da es trotz Captcha immer wieder zugespammt wurde. Die Datenbank worin diese Tabellen installiert waren, wurde ebenfalls mit dem Wechsel komplett gelöscht. Es wurden auch keine Daten daraus in die neue Version überspielt. Es befindet sich auch kein anderes Gästebuch mehr auf diesem Server oder in der Datenbank, genauso existiert kein extern verlinktes Gästebuch.
Vermutlich wurde mal durch einen Bot die URL zu dem Gbook der Domain in irgendeiner Datenbank auf irgendeinem Server gespeichert und fragt nun ständig diesen String ab, obwohl er jedes Mal geblockt wird. Gibt es da eine Möglichkeit, wie ich so einen String zb. mit htaccess blocken kann, so dass man über diese Anfrage gar nicht erst auf die Seite kommt? Oder habt ihr eine andere Idee?
Gruß |
|
| Nach oben |
|
 |
Coldcut
Site Admin
Anmeldungsdatum: Jun 16, 2005
Beiträge: 876
Wohnort: Austria
|
| Verfasst am: Mi März 07, 2007 8:13 am Titel: |
|
|
Hi!
Hast Du bei Deinen gesperrten IP Adressen diese dabei?
Wenn nicht dann kommt sie im nächsten IP2Country Update dazu.
In den letzten Tagen wurden in diesem Bereich ca. 200 Adressen gesperrt.
Dann werden auch sicher alle weiteren enthalten sein.
In der zwischenzeit kannst Du nur diese IP Adressen sperren die momentan bei Dir diese Angriffsflut auslösen.
Einmal ein schadhaftes Modul am Server und man hat Monate hinten nach Probleme damit.
Coldcut 
_________________
CiroxX©™ Development Team
----------
"Dann klappts auch mit der Nachbarin!"
- - - - - - - - - - -
-> Hinweis: Nur registrierte Benutzer haben die Möglichkeit in diesem Forum "Links" zu sehen!
Bitte Registrieren oder Einloggen - Danke! |
<- |
|
| Nach oben |
|
|
dextar
Newbie
Anmeldungsdatum: Feb 07, 2006
Beiträge: 9
|
| Verfasst am: Mi März 07, 2007 10:27 am Titel: |
|
|
| ja klar...die IPs werden vom Sentinel ordnungsgemäß geperrt, nur dadurch das dieser Harvest ständig die IP wechselt, kannst dir ja bestimmt vorstellen wieviele IP sich dabei ansammeln. Das Ganze geschiet Länderübergreifend. Deswegen war halt meine Überlegung, ob ich den Aufruf der URL des alten Gästebuches nicht einfach via htaccess sperren könnte. |
|
| Nach oben |
|
|
Coldcut
Site Admin
Anmeldungsdatum: Jun 16, 2005
Beiträge: 876
Wohnort: Austria
|
| Verfasst am: Mi März 07, 2007 2:05 pm Titel: |
|
|
Ich glaube nicht.
Wenn es sich um einen Spam-Bot handelt wird er sich nicht an dieses Verbot halten, ausserdem müsste er über einen Referer kommen, was aber kein Bot macht. Das würde nur bei realen Usern helfen.
Das interessante ist das das aufgerufene Modul einen falschen Namen hat ( ein o zuviel), oder hattest Du es unbenannt?
Eine lustige Idee wäre es wenn Du einen Ordner mit den selben Namen erstellst und in den Moduls-Ordner legst und mittels .htaccess sperrst.
Kann man auch wahlweise mit einer Weiterleitung zum FBI versehen. Dann haben diese ihren Spass. 
(ist aber nur ein Scherzchen)
Coldcut
_________________
CiroxX©™ Development Team
----------
"Dann klappts auch mit der Nachbarin!"
- - - - - - - - - - -
-> Hinweis: Nur registrierte Benutzer haben die Möglichkeit in diesem Forum "Links" zu sehen!
Bitte Registrieren oder Einloggen - Danke! |
<- |
|
| Nach oben |
|
|
dextar
Newbie
Anmeldungsdatum: Feb 07, 2006
Beiträge: 9
|
| Verfasst am: Mi März 07, 2007 4:13 pm Titel: |
|
|
okay...das mit dem Fake-Modul via htaccess und der Umleitung ist eine gute Idee...!!!
Ja ich habe das Gbook damals umbenannt, weil ich den captcha zusätzlich reingeschnitzelt hatte und es damals ausprobieren wollte, ob eine Umbenennung die Spams etwas eingrenzt...naja letztendlich hat das nichts genützt aber ich war wieder ein Stück schlauer 
Greetz |
|
| Nach oben |
|
|
|
FAQ
Suchen
Benutzergruppen
Profil
Login
and 