Derbes Hijacking - wer weiß Rat?

Beitrag von **Tkni** » 05.07.2007, 12:34

Habe das an
https://www.google.de/webmasters/spamreport.html gemeldet und in 6 Stunden war alles Ok! ( Kann auch Zufall gewesen sein!)

von **Anzeige von ABAKUS** »

Beitrag von **Jansen** » 05.07.2007, 12:49

Da der böse Bube sich so
www.nzzm.com/nph-proxy1.cgi/010100A/htt ... -domain.de
zeigt, wäre es als Sofortmaßnahme denkbar, einen Code für die htaccess zu schreiben, der bei der Zeichenfolge "nph-proxy" ein forbidden zurückgibt.

Das wäre in Theorie möglich, nur bekommt der Webserver von meine-domain.de den String "nph-proxy" nie zu sehen.
Dieser müsste im Referer stehen, der Proxy sendet allerdings entweder gar keinen Referer oder einen gefakten von https://meine-domain.de.

Beitrag von **herrmeier** » 05.07.2007, 14:31

@ Tkni
Auf Grund meiner gemachten Erfahrung wird das Phänomen wohl eher mit den Datencentern zusammenhängen. Hoffen wir jedoch, dass dem nicht so ist.

@Jansen
Das klingt ja fast pessimistisch. Bei mir weist Statcounter den Referer als "server2.domishko.net" aus. Eventuell hilft diese Information weiter?

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **Jansen** » 05.07.2007, 15:40

Ja - siehe Seite eins von diesem Thread, besonders die Posts von Unifex.

Der Proxy kommt über die IP-Adresse 74.86.17.82, die nach server2.domishko.net auflöst. Und diese kann man per .htaccess mit

deny from 74.86.17.82

aussperren.

Beitrag von **herrmeier** » 05.07.2007, 21:04

@ Jensen
Vielen Dank für die hilfreichen Tipps.

Es ist gelungen!

Was mit deny 74.86.17.82 nicht gelang, ist mit der Befehlssequenz

RewriteEngine on
RewriteCond %{REMOTE_ADDR} 74.86.17.82
RewriteRule ^.* - [F]

in der .htaccess eindrucksvoll gelungen:
Kommen jetzt Besucher über den nzzm-Proxy, wird ein satter Error 403 zurückgegeben.
Jetzt ist es nur noch eine Frage der Zeit, wann meine NZZM-Seiten bei Google wieder rausfliegen.

Ein Code, der für gute Laune sorgt!

Beitrag von **FL4PJ4CK** » 05.07.2007, 21:48

Was mit deny 74.86.17.82 nicht gelang, ist mit der Befehlssequenz

RewriteEngine on
RewriteCond %{REMOTE_ADDR} 74.86.17.82
RewriteRule ^.* - [F]

in der .htaccess eindrucksvoll gelungen:
Kommen jetzt Besucher über den nzzm-Proxy, wird ein satter Error 403 zurückgegeben.
Jetzt ist es nur noch eine Frage der Zeit, wann meine NZZM-Seiten bei Google wieder rausfliegen.

Ein Code, der für gute Laune sorgt!

Jup, kann ich bestätigen. Meine Seite gibt nun bei denen auch einen Fahler aus.
Gute Arbeit, danke!

Beitrag von **herrmeier** » 06.07.2007, 19:04

Freut mich, dass es auch bei dir funktioniert, FL4PJ4CK.

Nachdem es dank der guten Zusammenarbeit gelungen ist, dem Web-Vampyr den Holzpflock ins Herz zu stoßen und ihn endgültig ins Jenseits zu befördern, nochmal kurz zur Prophylaxe:

Unifex hat eine neue und sehr moderne Methode - reverse forward DNS - zur Vorbeugung gegen derartige Weschmarotzer aufgezeigt.
Jensen hat den Code für PHP-Seiten geliefert und darüber hinaus noch ein Script für HTML-Seiten geschrieben: Skripte - nochmals herzlichen Dank hierfür.

Weitere Skripte zur Vorbeugung sind Spider Trap und Bot Trap

Beitrag von **weltweit** » 06.07.2007, 21:43

Hallo,

da meine wichtigste Seite seit kurzem auch von nzzm.com "übernommen" wurde, habe ich mal alle obigen Codes bei mir eingefügt (htaccess, Reverse DNS Sache in jede Datei oben eingefügt und jetzt noch die Sache mit der Rewrite Engine)

Ich bin aber in solchen Sachen purer Anfänger und deshalb meine wichtige Frage:

Wie kann ich testen, ob das ganze funktioniert?

Noch eine Frage:
Sollte man zusätzlich zu allen bisher in diesem Thread erwähnten Maßnahmen auch noch Spider-Trap / Bot Trap installieren?

Danke

Beitrag von **herrmeier** » 07.07.2007, 12:42

@weltweit
Das Gebot der Stunde lautet, unverzüglich

RewriteEngine on
RewriteCond %{REMOTE_ADDR} 74.86.17.82
RewriteRule ^.* - [F]

in die.htaccess zu schreiben. Damit bist du den Blutsauger in wenigen Tagen los.

Hast du in der .htaccess bereits RewriteEngineOn stehen, bleibt es bei einmal "RewriteEngineOn". Beispiel:

RewriteEngine on
RewriteCond %{HTTP_HOST} !^www\.meine-domain\.de$
RewriteRule ^(.*)$ https://www.meine-domain.de/$1 [L,R=301]

RewriteCond %{REMOTE_ADDR} 74.86.17.82
RewriteRule ^.* - [F]

Hier wird noch zusätzlich auf "www" umgeleitet, um DC auszuschließen.

Hat dein Server den Rewrite-Modus nicht aktiviert (z. B. Sparpaket bei Strato), hilft nur noch beten oder der Wechsel zu einem Server, der Rewrite aktiviert hat.

Ob die Sache funktioniert, prüfst du, indem du über Google deine Seite mit www.nzzm.com/nph-proxy1.cgi/010100A/htt ... -domain.de aufrufst. Kommt jetzt die Fehlermeldung, funktioniert die Abwehrmaßnahme.

Zu den vorbeugenden Schritten: Siehe 2 Beiträge zurück.

Beitrag von **FL4PJ4CK** » 07.07.2007, 14:55

Ah, super! Ich hatte da zwei extra Befehle drin.

Noch eine Frage: Wie kombiniere ich das jetzt wenn ich folgendes machen will:

Vom Hauptverzeichnis meiner Domain will ich direkt auf /forum weiterleiten,da sich das Forum in einem Unterverzeichnis befindet.
Dann eben dieses Hijacking-Teil.
Und dann noch immer auf www umleiten, wegen DC.

Ich bekomm das einfach nicht gebacken.

Danke schonmal

Beitrag von **weltweit** » 07.07.2007, 17:15

super - danke, aber komischerweise kommt nur bei einigen meiner gescrapten Unterseiten die Meldung "403 Forbidden".

Bei einigen funktioniert es also, bei den meisten aber nicht

Wie kommt das?

Hat das Teil mittlerweile die IP gewechselt?

...oder woran könnte das noch liegen???

Beitrag von **weltweit** » 07.07.2007, 17:16

hat sich erledigt.

Es lag daran, daß man den Code in jede htaccess auf der Domain einfügen muß, wo man die Remote Engine auf ON geschaltet hat.

Ansonsten wird das wohl wieder zurückgesetzt...

Danke für die Super-Hilfe hier im Forum!!!!

Wenn es wirklich drauf ankommt, kann man sich doch auf Euch verlassen...

Beitrag von **herrmeier** » 07.07.2007, 20:39

@weltweit
Freut mich, dass du den Fehler herausgefunden hast. Ansonsten spielt die IP 75.126.255.76 bei nzzm.com noch eine gewisse Rolle: Vorsichtshalber gleich mit aussperren.

@FL4PJ4CK
Als ambitionierter Laie würde ich mit dem Befehl "Redirect" arbeiten. Anwendungsweise ist hier beschrieben: https://www.drweb.de/htaccess/htaccess_ ... ugen.shtml Ansonsten warten wir mal ab, was die Profis dazu sagen.

Auf jeden Fall hier noch im Forum nachsuchen, wie sich Redirect suchmaschinentechnisch auswirkt.

Beitrag von **FL4PJ4CK** » 07.07.2007, 21:17

Jaja, redirict ist klar. Meine Frage war nur, ob ich da einfach den alten Redirict in eine neue Zeile mache oder wie bei herrmeier beschrieben irgendwie alles als eins geschrieben wird.

Versteht Ihr, was ich meine?

Beitrag von **weltweit** » 07.07.2007, 21:30

@herrmeier
ja ja, ich hab schon alles mögiche ausgesperrt, was ich hier so gefunden habe. kann ja nicht schaden, obwohl es von solchen Proxies ja unzählige zu geben scheint...