verteilter Angriff?

Beitrag von **Taurus** » 03.04.2006, 21:28

Hi,

seit ein paar Tagen habe ich scheinbar einen Spamroboter auf meiner Seite aktiv. Er holt sich jeden Tag ein paar neue Webseiten. Heute hat er "endlich" eine Seite mit einem Formmail-Script gefunden, woraufhin er gleich versucht hat dieses aufzurufen.
Das Interessanteste an diesem "Angriff" ist, das der Spamroboter sich die Seiten von wechselnden IP-Adressen holt, die aber koordiniert vorgehen.
Von jeder IP werden eine Handvoll Seiten geholt, bisher aber keine Seite zweimal...
Es scheint also so etwas wie ein verteilter (distributed) Angriff vorzuliegen.
Der Angriff fiel mir eigentlich nur deshalb auf, weil die Seitenaufrufe jeden Tag zeitlich eng beeinander liegen.
Der Referrer und User-Agent sind immer "-", bis auf den Formmail-Aufruf.

Hat jemand das gleiche Problem?
Was kann man tun, ausser die IPs der Reihe nach zu sperren?

gekürtzer Auszug aus meinen Logs:
[code]200.122.153.10 - - [02/Apr/2006:09:11:38 +0200] "GET / HTTP/1.1" 200 ... "-" "-"
201.248.153.103 - - [02/Apr/2006:09:13:38 +0200] "GET /... HTTP/1.0" 200 ... "-" "-"
194.225.51.26 - - [02/Apr/2006:09:14:46 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
62.116.40.112 - - [02/Apr/2006:09:18:18 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
200.122.153.10 - - [02/Apr/2006:09:19:46 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
68.87.64.104 - - [02/Apr/2006:09:21:26 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
159.148.11.4 - - [03/Apr/2006:10:07:12 +0200] "GET /... HTTP/1.0" 200 ... "-" "-"
202.181.236.51 - - [03/Apr/2006:10:07:52 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
213.86.57.3 - - [03/Apr/2006:10:09:11 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
62.183.50.164 - - [03/Apr/2006:10:10:12 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
62.183.50.164 - - [03/Apr/2006:10:10:20 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
62.183.50.164 - - [03/Apr/2006:10:10:26 +0200] "POST /.../formmail.php HTTP/1.1" 200 ... "MeineDomain" "-"
59.106.17.15 - - [03/Apr/2006:10:10:47 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
200.118.2.220 - - [03/Apr/2006:10:12:39 +0200] "GET /... HTTP/1.1" 200 ... "-" "-"
[/code]

Gruß Christian

von **Anzeige von ABAKUS** »

Beitrag von **Anonymous** » 03.04.2006, 22:09

lös doch die IP's mal in domainnamen auf, dann sieht man evtl. ein Schema...

Beitrag von **Taurus** » 03.04.2006, 22:27

Hi net(t)worker,

das hatte ich schon gemacht. Die IPs stammen aus der ganzen Welt: Costa Rica, Venezuela, Iran, Österreich, U.S.A., Lettland, Hong Kong, Russland, Japan, Kolumbien.
Ich tippe auf ein Bot-Netz...

Christian

Beitrag von **Anonymous** » 03.04.2006, 23:35

oldInternetUser hat geschrieben:Das werden einfach gefälschte IP-Adressen sein, so etwas beachte ich bei meinen Rechnern gar nicht - das gibt es aber immer wieder.

naja... wenn er die Absender-IP fakt, bekommt er aber auch keine Antwort, kann also die Site garnicht spidern..

Sinn würden da nur offene proxys machen

Beitrag von **Hasso** » 04.04.2006, 01:20

@Taurus
Ja einige davon sind tatsächlich Proxys etc.
Interessant wird es aber bei 62.116.40.112, die IP wird gleich auch für`s Hosting genutzt. Schau mal selbst...

Wobei dieser Server auch gehackt und demnach als Proxy etc. missbraucht sein könnte...

Wie viele von solchen Zugriffen hast Du ca. pro Tag insgesamt? Wächst die Zahl den Zugriffen/IP-Adressen vom Tag zu Tag?

Grüsse
Hasso

Beitrag von **/bin/false** » 04.04.2006, 02:20

Hasso hat geschrieben:Wobei dieser Server auch gehackt und demnach als Proxy etc. missbraucht sein könnte...

Sehr wahrscheinlich, da es sich nicht um ein Hosting-Provider (ATNET.at)
handelt, auch kein Reverse DNS, und in verschiedenen Blacklists steht.

Beitrag von **Taurus** » 04.04.2006, 08:54

Hallo,

Danke für Eure Hilfe.
Auf die Idee mit den offenen Proxies bin ich nicht gekommen.
Ich hatte schon gedacht, es würde sich um eine neue "koordinierte" Vorgehensweise handeln, aber so erklärt sich die Sache.

Dieser Spamroboter ist allerdings der erste, der den Pfad zu meiner (umbenannten) Formmail-Datei aus den Webseiten herausgelesen hat. Alle anderen hatten bisher immer nur geraten: Standard-Dateinamen - Standard Verzeichnisse...

Nachdem ich jetzt meine Logfiles nochmal genauer angesehen habe, hat sich herausgestellt, daß dieser Spambot schon länger aktiv ist. Früher waren es aber nur vereinzelte Anfragen, die im Rauschen untergingen. In den letzten Tagen nahmen die Anfragen zu und er fiel mir deshalb auf, weil bei einem Crawl laufend die IP wechselte.

Insgesamt stellt dieser Spambot kein grosses Problem dar. Gestern waren es 25 Seitenaufrufe, bei allerdings nur ca. 130 Seiten auf unserer Firmenhomepage.

Meine Frage hat sich damit dann erledigt.

Nochmal Danke an alle!!!

Gruß Christian

Beitrag von **bundy** » 04.04.2006, 11:19

Benutzt der Spambot immer die gleichen Absendernamen bei eMails oder Postings?
Bei mir ist nämlich auch einer aktiv ("Mamadshah", "Ivan", "Nick"). Er wütet seit Tagen in einem selbst programmierten Forum und in Mailformularen und lernt sogar. Ich hab nach und nach Wörter aus seinen Einträgen in Blacklist gesetzt und er hat kurzerhand andere genommen... Nun ist er sauer und postet nur noch "Have a Nice Day!" ohne jegliche URLs...

Beitrag von **Hasso** » 04.04.2006, 11:57

bundy hat geschrieben:Er wütet seit Tagen.... und lernt sogar.
... Nun ist er sauer und postet nur noch "Have a Nice Day!" ohne jegliche URLs...

Der scheint so eine Art "künstliche Intelligenz" zu haben