Derbes Hijacking - wer weiß Rat?

[herrmeier]

Bin mit einer frischen Seite Opfer von www.nzzm.com geworden.
Unter "site:www.nzzm.com" ist zu erkennen, dass bereits über 10.000 Seiten betroffen sind.

Habe bereits mit der gepingten IP in der htaccess

"deny 217.172.167.54" und mit
"deny nzzm.com"

Gegenmaßnahmen getroffen. Leider erfolglos.
Gibt es einen guten Rat??

[Merkle]

Hallo

bist du sicher, dass dies die IP von diesem Grabber ist? Ich habe eine andere ermittelt.

Übrigens ist der bei bot-trap schon gesperrt. Such mal danach.

Grüße
R. Merkle

[marc77]

wie finde ich den raus welche IP dieser Proxy benutzt. Denn bei mir erkennt bot-trap diesen nicht obwohl ich dachte mein bot-trap ist aktuell...

[FL4PJ4CK]

Oh Sche... Meine Seite iist da auch drin.
Undd ich hab keine Ahnung, wie ich die aussperre

[herrmeier]

Habe auf www.nzzm.com/nph-proxy1.cgi/010100A/meine -domain gepingt. Dabei ist 217.172.167.54 herausgekommen.

Diese IP ist wiederum dem "server2.domishko.net" zuzuordnen.

Habe alles über die htaccess ausgesperrt.
Nur leider funktioniert die Sperre nicht.

[Unifex]

Ip ist doch 74.86.17.82

[FL4PJ4CK]

Hm, kann mir jemand sagen, was ich da in die .htaccess reinschreiben muss?
Das ist alles sooo kompliziert...

[Unifex]

In diesem Fall dürfte folgendes reichen:

deny from 74.86.17.82

[FL4PJ4CK]

OK, danke Hab ich mal reingesetzt.
Da brauch ich ja nicht irgendwie ein Trennzeichen zwischen einer Umleitung und deinem Code ein Trennzeichen, oder? Einfach eine neue Zeile?

Sorry für meine Anfängerfragen

[herrmeier]

Was ich im Zusammenhang mit nzzm.com finden konnte, habe ich in die htaccess reingeschrieben:

order deny,allow
deny from 217.172.167.54
deny from 75.126.255.76
deny from 74.86.17.82
deny from 66.228.118.22
deny from nzzm.com
deny from domishko.net
deny from softlayer.com
allow from all

Funktioniert aber leider nicht.

[Unifex]

Einfach eine neue Zeile?

genau so ist es.

Das hilft allerdings nur für diesen einen Proxy. Davon gibt es aber wohl tausende.
Guten Schutz vor solchen Angreifern gibt die Bot Trap.
Etwas für mich neues wäre noch die „reverse-forward DNS“ Technik. Scheint aber auch vielversprechend zu sein.

[zepho]

hallo @all:

anfängerfrage: wie stelle ich fest, das meine seite von so etwas betroffen ist?

"link:" abfrage unter google?

[FL4PJ4CK]

Na toll... Aber bisher ist noch kein merkbarer Schaden entstanden. Ich schau mal, wie sich das entwickelt. Alle auszuschließen wird wahrscheinlich eh nie klappen

[herrmeier]

@zepho:
Mit der Abfrage inurl:www.meine-domain ist erkennbar, ob man bereits okkupiert ist.

@FL4PJ4CK
Bei mir ist schon ein Schaden entstanden: Der Hijacker liegt schon jetzt mit den von mir gekaperten Seiten vor meinen eigenen Seiten. Es ist jetzt nur noch eine Frage der Zeit, wann sie wegen DC rausfliegen.

Hängt natürlich auch damit zusammen, dass die Seite erst wenige Wochen alt ist.

@Unifex
Die Reverse forward DNS Technik erschliesst sich mir nicht /beim Googeln nichts Verwertbares gefunden.

[semtex]

Was ich immer viel schlimmer finde, das Google solche Seiten noch listet.
Für Google wäre es ein leichtes eine Filterroutine für solche Catcher Seiten zu einzubauen.

Google hat nun Jahre darauf angesetzt ein Gigant zu werden, nun finde ich wäre es jetzt mal an der Zeit sich um ein bischen mehr Kultur und den Kundenschutz zu kümmern.

Ansonsten mache ich morgen selber eine Suchmaschine auf und sage Google den Kampf an..