Kommentare zu: Bot-Attacken in den Serverlogs http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/ Der Blog über Linux, Programmierung und Webdesign. Wed, 07 Jan 2009 13:28:12 +0000 http://wordpress.org/?v=2.7 hourly 1 Von: Steve http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-10422 Steve Mon, 10 Nov 2008 17:53:29 +0000 http://blog.simlau.net/?p=83#comment-10422 Na klar ... Du bist bestimmt ein Opfer des selben Botnetzes -- es gibt ja auch ganz bestimmt nur ein einziges Botnetz im Internet... Und jetzt komm mir bitte nicht mit dem Argument, das die Angriffe sich aehneln bzw. fast identisch sind... das hat in der heutigen Zeit nichts mehr zu bedeuten .. wenn zu Zeiten des Amiga (wo Du noch nicht einmal als Quark im Schaufenster gelegen hast :P) irgendwelche grossen und kleinen Problemchen damit hatte, das mal einige Mailbox-Systeme gehackt wurden, konnte man davon ausgehen, das es wohl ein- und der selbe Freak war, der hinter allem steckt (oftmals war es einfach Kim Schmitz alias Kimble - der typische Zivilversager, der sich auf diese Weise Gehör verschaffen wollte.. dafuer hat er auch mit Morddrohungen etc. leben muessen und hat seinen Eltern viel Kummer bereitet :D (http://de.wikipedia.org/wiki/Kim_Schmitz))... dieser kleine Spacken hat damals die ein- oder andere BBS auffliegen lassen und hat einen sehr grossen Anteil daran gehabt, das das sog. Blueboxing nicht mehr reibungslos funktionierte.. Na ja.. solche Grossmaeuler gibt es ja in der heutigen Pubertierenden Na klar … Du bist bestimmt ein Opfer des selben Botnetzes — es gibt ja auch ganz bestimmt nur ein einziges Botnetz im Internet…
Und jetzt komm mir bitte nicht mit dem Argument, das die Angriffe sich aehneln bzw. fast identisch sind… das hat in der heutigen Zeit nichts mehr zu bedeuten .. wenn zu Zeiten des Amiga (wo Du noch nicht einmal als Quark im Schaufenster gelegen hast :P) irgendwelche grossen und kleinen Problemchen damit hatte, das mal einige Mailbox-Systeme gehackt wurden, konnte man davon ausgehen, das es wohl ein- und der selbe Freak war, der hinter allem steckt (oftmals war es einfach Kim Schmitz alias Kimble - der typische Zivilversager, der sich auf diese Weise Gehör verschaffen wollte.. dafuer hat er auch mit Morddrohungen etc. leben muessen und hat seinen Eltern viel Kummer bereitet :D (http://de.wikipedia.org/wiki/Kim_Schmitz))… dieser kleine Spacken hat damals die ein- oder andere BBS auffliegen lassen und hat einen sehr grossen Anteil daran gehabt, das das sog. Blueboxing nicht mehr reibungslos funktionierte..
Na ja.. solche Grossmaeuler gibt es ja in der heutigen Pubertierenden

]]> Von: rami http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-10392 rami Sun, 09 Nov 2008 13:36:20 +0000 http://blog.simlau.net/?p=83#comment-10392 Bin auch Opfer - wohl derselben Bots :) http://blog.raphaelmichel.de/beitrag/homepage/2008-11-09-mochtegernhacker/ Das mit mod_rewrite ist eine gute Idee. Bin auch Opfer - wohl derselben Bots :) http://blog.raphaelmichel.de/beitrag/homepage/2008-11-09-mochtegernhacker/

Das mit mod_rewrite ist eine gute Idee.

]]> Von: killerbees19 http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-6455 killerbees19 Fri, 18 Jul 2008 17:13:33 +0000 http://blog.simlau.net/?p=83#comment-6455 @Steve: Klar doch, ich sitze 24/7 online, nur um mit der IP Sperre nachzukommen *ironie* :D MfG Christian @Steve: Klar doch, ich sitze 24/7 online, nur um mit der IP Sperre nachzukommen *ironie* :D

MfG Christian

]]> Von: Mike http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-6374 Mike Tue, 15 Jul 2008 15:43:35 +0000 http://blog.simlau.net/?p=83#comment-6374 Spamhaus & Co haben das Problem, dass Server in Sekunden per Botnetz gehackt und für den Spamversand missbraucht werden. So hat ein Server schon mehrere Millionen Mails versendet, bis Spamhaus überhaupt von einem User eine Bestätigung für den Spammer erhält. Sinnvoll ist hier Greylisting. Es wird zwar oft gesagt, dass die Spammer sich dem Greylisting langsam anpassen und die Mail nach 10 Minuten einfach nochmal senden, doch bis dahin hatten die Blacklists genug Zeit zu reagieren und haben den Spammer schon gesperrt. Durch den Einsatz von Greylisting UND Blacklists schaffe ich es, aus 280 Zustellversuchen pro Stunde nur knapp 3,6 Mails pro Stunde durchzulassen - und bisher habe ich noch nie eine gewollte Mail verloren oder vermisst... Spamhaus & Co haben das Problem, dass Server in Sekunden per Botnetz gehackt und für den Spamversand missbraucht werden. So hat ein Server schon mehrere Millionen Mails versendet, bis Spamhaus überhaupt von einem User eine Bestätigung für den Spammer erhält.

Sinnvoll ist hier Greylisting. Es wird zwar oft gesagt, dass die Spammer sich dem Greylisting langsam anpassen und die Mail nach 10 Minuten einfach nochmal senden, doch bis dahin hatten die Blacklists genug Zeit zu reagieren und haben den Spammer schon gesperrt.

Durch den Einsatz von Greylisting UND Blacklists schaffe ich es, aus 280 Zustellversuchen pro Stunde nur knapp 3,6 Mails pro Stunde durchzulassen - und bisher habe ich noch nie eine gewollte Mail verloren oder vermisst…

]]> Von: Steve http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-6007 Steve Wed, 02 Jul 2008 13:05:52 +0000 http://blog.simlau.net/?p=83#comment-6007 Zum Glück habe ich mit Spambots etc. seit ewigkeiten keine Probleme mehr - zumindest nicht auf der Homepage (Gästebuch) und im Forum. Trotzdem ist es teilweise echt nervig, wenn man tausende emails am Tag mit Spam bekommt - dagegen habe ich bislang noch keine wirksame Lösung gefunden,obwohl mein Server eingehende emails mit diversen Blacklists etc. abgleicht; scheinbar sind diese Anbieter (z.B. http://www.spamhaus.org/) dem Ansturm auch nicht mehr gewachsen o_O.. @Christian: Jetzt weiss ich auch warum Du so wenig Zeit hast ^^ .. ist ja kein Wunder, wenn Du immer alle Bot-IP\'s auf ignore setzt ;) Greetz, Steve Zum Glück habe ich mit Spambots etc. seit ewigkeiten keine Probleme mehr - zumindest nicht auf der Homepage (Gästebuch) und im Forum. Trotzdem ist es teilweise echt nervig, wenn man tausende emails am Tag mit Spam bekommt - dagegen habe ich bislang noch keine wirksame Lösung gefunden,obwohl mein Server eingehende emails mit diversen Blacklists etc. abgleicht; scheinbar sind diese Anbieter (z.B. http://www.spamhaus.org/) dem Ansturm auch nicht mehr gewachsen o_O..
@Christian: Jetzt weiss ich auch warum Du so wenig Zeit hast ^^ .. ist ja kein Wunder, wenn Du immer alle Bot-IP\’s auf ignore setzt ;)
Greetz,

Steve

]]> Von: Simon http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-5988 Simon Tue, 24 Jun 2008 12:38:02 +0000 http://blog.simlau.net/?p=83#comment-5988 Danke für die Links. Ich werde sie mir auf jedenfall mal zu Gemüte führen. ;) Danke für die Links.
Ich werde sie mir auf jedenfall mal zu Gemüte führen. ;)

]]> Von: Mike http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-5986 Mike Tue, 24 Jun 2008 01:12:16 +0000 http://blog.simlau.net/?p=83#comment-5986 Wenn du's eh einarbeitest, kannst du dir mal die Apache Direktive 'Browsermatch' [1] ansehen. Die wurde speziell dazu gemacht, Filter für Browser anzulegen und diese dann entweder per allow/deny zu filtern oder auch sonstige Anpassungen vorzunehen, um Apache auch an Fehler der üblichen Browser zu gewöhnen. Das erlaubt die Filterung auch ohne mod_rewrite. Das schöne ist, dass man so mehrere Filter zu einer Gruppe zusammenfassen kann, die dann per deny gemeinsam abgewiesen oder per allow erlauben kann. Ein Beispiel für Allow ist unter [2]. [1] http://httpd.apache.org/docs/2.0/mod/mod_setenvif.html [2] http://nadeausoftware.com/articles/2007/05/stop_spammer_email_harvesters_blocking_spammer_access_site Wenn du’s eh einarbeitest, kannst du dir mal die Apache Direktive ‘Browsermatch’ [1] ansehen. Die wurde speziell dazu gemacht, Filter für Browser anzulegen und diese dann entweder per allow/deny zu filtern oder auch sonstige Anpassungen vorzunehen, um Apache auch an Fehler der üblichen Browser zu gewöhnen.

Das erlaubt die Filterung auch ohne mod_rewrite. Das schöne ist, dass man so mehrere Filter zu einer Gruppe zusammenfassen kann, die dann per deny gemeinsam abgewiesen oder per allow erlauben kann.

Ein Beispiel für Allow ist unter [2].

[1] http://httpd.apache.org/docs/2.0/mod/mod_setenvif.html

[2] http://nadeausoftware.com/articles/2007/05/stop_spammer_email_harvesters_blocking_spammer_access_site

]]> Von: Simon http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-5981 Simon Mon, 23 Jun 2008 22:15:45 +0000 http://blog.simlau.net/?p=83#comment-5981 Danke für das Feedback. Ich bin im Moment dabei mich in den Syntax von modrewrite einzuarbeiten und zur Zeit noch nicht so fit darin. Man lernt immer dazu. :) Ich werde es später anpassen, bin im Moment nur noch kurz mit dem itouch online. Danke für das Feedback. Ich bin im Moment dabei mich in den Syntax von modrewrite einzuarbeiten und zur Zeit noch nicht so fit darin. Man lernt immer dazu. :)
Ich werde es später anpassen, bin im Moment nur noch kurz mit dem itouch online.

]]> Von: Mike http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-5980 Mike Mon, 23 Jun 2008 20:33:58 +0000 http://blog.simlau.net/?p=83#comment-5980 Die Regel 'RewriteRule ^.* - [F]' besagt ja, dass er ALLES matchen soll. Hier bedeutet ^.*, dass die URL mit KEINEN, EIN oder MEHREREN Zeichen beginnt. Optimaler ist hier einfach ein Punkt (.), welcher einfach nur bedeutet, dass im String ein beliebiges Zeichen vorkommen muss: RewriteRule . - [F] Die Regel ‘RewriteRule ^.* - [F]‘ besagt ja, dass er ALLES matchen soll. Hier bedeutet ^.*, dass die URL mit KEINEN, EIN oder MEHREREN Zeichen beginnt.

Optimaler ist hier einfach ein Punkt (.), welcher einfach nur bedeutet, dass im String ein beliebiges Zeichen vorkommen muss:
RewriteRule . - [F]

]]> Von: Simon http://blog.simlau.net/2008/06/23/bot-attacken-in-den-serverlogs/comment-page-1/#comment-5978 Simon Mon, 23 Jun 2008 14:44:24 +0000 http://blog.simlau.net/?p=83#comment-5978 Ich bin ja schon mal froh, dass ich keinen Spam im Gästebuch und in den Kommentaren mehr habe, das war auch ne ziemliche Tortur immer, diese ganzen Spamkommentare zu löschen. Die IPs sperren wäre hier etwas umständlich. Es sind einfach zu viele verschiedene. Ich denke so ist es vorerst mal die beste Lösung. Ich bin ja schon mal froh, dass ich keinen Spam im Gästebuch und in den Kommentaren mehr habe, das war auch ne ziemliche Tortur immer, diese ganzen Spamkommentare zu löschen.

Die IPs sperren wäre hier etwas umständlich. Es sind einfach zu viele verschiedene. Ich denke so ist es vorerst mal die beste Lösung.

]]>