Seite 1 von 3
http attacke, automatische IP sperre?
Verfasst: 03.11.2007, 14:42
von saudepp
irgendein spaßvogel attackiert gerade meine seite, indem er eine bestimmte unterseite mehrmals pro sekunde aufruft. glücklicherweise immer von derselben IP aus hamburg. werde den besitzer des t-online accounts heute noch anzeigen.
das ganze müsste mich eigentlich nicht stören, aber AdSense hat die zusätzlichen impressions immer von der gleichen IP vermutlich nicht so gern.
Ich habe deshalb die IP per htaccess gesperrt.
gibt es Skripte, die so etwas automatisch erledigen?
z.B. wenn eine IP mehr als 100 Anfragen innerhalb eines defininierten Zeitraums sendet, so soll diese IP automatisch gesperrt werden.
oder wie kann man solche Attacken grundsätzlich vermeiden?
hilft der Provider da evt. weiter? (1und1 ...)
wäre für tipps dankbar!
gruß -saudepp
Verfasst: 03.11.2007, 15:31
von bennos
Hallo
dein Provider sollte dir helfen.
Sinnvoll kanst du den den Angriff nur blocken über eine Firewall oder über IDS.
gruss
bennos
Verfasst: 03.11.2007, 15:44
von saudepp
und wie kann ich so eine Firewall installieren auf dem webserver? ich habe bei 1und1 keinen eigenen server, lediglich webspace ...
Verfasst: 03.11.2007, 15:44
von seo-link
Hatte das selbe Problem allerdings aus Nähe Köln .... Anzeige wurde vor 1 Stunde erstattet. Mal schauen, wer sich hinter der IP versteckt hat.
Verfasst: 03.11.2007, 15:52
von saudepp
@seo-link
war das eine t-online IP?
nachdem der spammer nur noch 403 errors bekommen hat, hat er inzwischen die attacke eingestellt. mal sehen wie lange das hält ...
vielleicht schreibe ich ein skript, das all IPs mit # of impressions in eine DB schreibt. wenn die {# of impressions} / {definierter Zeitraum} eine kritische Schranke überschreitet, wird die IP per htaccess automatisch gesperrt.
man muss nur aufpassen, dass man den google bot nicht aussperrt
Verfasst: 03.11.2007, 16:04
von seo-link
Wäre eine gute Idee. Hast OPN von mir ... falls Du Übereinstimmungen findest, kannst auch Tagebuchnummer haben.
Ein positives hat es .... der/die jenige steht in meinem NL .... daher wird die Recherche wohl nicht schwer sein.
Dummheit muß bestraft werden und der/die wird mich persönlich jetzt kennenleren.
Verfasst: 03.11.2007, 19:56
von wowglider
ganz ehrlich, es lohnt nicht sowas nachzugehen zu 99% ist das ein ahnungsloses kind was einen trojaner aufm rechner hat...
Verfasst: 03.11.2007, 21:44
von Airport1
iptables bzw. apf sind fuer die abwehr solcher attacken etwas (laufzeittechnisch) besser geeignet als die .htaccess
Verfasst: 03.11.2007, 22:35
von everflux
Mal ganz von der Last auf dem Server abgesehen - der Adsense Code wird ja nicht vom Server sondern vom Client geladen.
Wenn ich jemanden ärgern wollte, würde ich also den referrer faken und stets den adsense code laden / seitenaufrufe simulieren.
Dafür muß ich den echten Server garnicht erreichen.
Bei mir haben in letzter Zeit parallele http Zugriffe pro Request von IE 6 Usern zugenommen - entweder hat da irgendein Idiot "getuned" ohne Plan zu haben, oder da steckt auch irgendeine Pest hinter.
Verfasst: 03.11.2007, 23:10
von saudepp
Airport1 hat geschrieben:iptables bzw. apf sind fuer die abwehr solcher attacken etwas (laufzeittechnisch) besser geeignet als die .htaccess
inwiefern? kann man da IPs automatisch als Spam IPs identifizieren und sperren?
Verfasst: 04.11.2007, 12:41
von catcat
seo-link hat geschrieben: .... Anzeige wurde vor 1 Stunde erstattet. Mal schauen, wer sich hinter der IP versteckt hat.
Nur mal so gefragt: Aufgrund welcher Paragraphen wird da Anzeige erstattet?
Verfasst: 04.11.2007, 12:56
von SloMo
Würde mich auch mal interessieren, auf welcher Grundlage hier Anzeige erstattet wird. Am Ende läuft es IMHO höchstens auf eine Ordnungswidrigkeit mit Unterlassungsanspruch hinaus, weil der Serverbetreiber in seinem Eigentum gestört ist. Diese Störung müsste man allerdings auch erst einmal belegen...
Verfasst: 04.11.2007, 14:45
von Fox Mulder
Mich interessiert mehr die automatische IP sperre.
Hat da jemand ein php skript o.ä. an der Hand?
Gruss
Verfasst: 04.11.2007, 20:27
von saudepp
Fox Mulder hat geschrieben:Mich interessiert mehr die automatische IP sperre.
Hat da jemand ein php skript o.ä. an der Hand?
Gruss
das würde mich auch sehr interessieren.
vor 3 stunden startete derselbe spammer wieder eine attacke, diesmal mit einer telekom IP aus berlin. vielleicht ist's ja auch ein trojaner, wer weiß.
das wird langsam lästig ...
kann eine firewall vom provider so was verhindern?
Verfasst: 04.11.2007, 20:47
von Airport1
die zutaten fuer eine abwehr: iptables (meist auf jedem linux schon druff) + apf (erkennt "boese muster") + ddos.sh script (erkennt "frequentierte belaestigungen") .. letztere beide geben ihre erkenntnisse wiederum an iptables weiter, was schon auf unterer ebene im netzwerk stack dann die pakete einfach verwirft.. bedingung: eigener server oder gute kontakte zum server betreiber
bei ddos.sh ggf. mal die autoren fragen wann denn nun v1.0 rauskommt, denn ich bin da wohl bislang immer der einzige der sie dauernd danach fraegt - offiziell gibts die schon, nur noch nicht zum download
url musst erguegeln z.b. mit "ddos deflate"
