DNSBL aus Apache-Logs?

Wohnzimmerhostblogger

< Ein JUNIOR-Jahr geht zu Ende | Ein Herz für IfModule >

Mittwoch, 8. August 2007

DNSBL aus Apache-Logs?

In den vergangenen zwei Wochen wurde ein Kunde immer wieder Opfer etwas, was wie DDOS-Attacken anmutete...

... im Prinzip waren sie das auch, nur war die Absicht des Verursachers sicherlich eine andere: Spam.

Bei dem Kunden gingen pro Minute mehrere tausend Anfragen ein, die der Webserver schlichtweg nicht mehr schnell genug abarbeiten konnte und seine Warteschlange in Folge dessen "überlief". Heute hatte ich mal die Schnautze voll und bin dem Problem auf den Grund gegangen.

Mit einer einfachen mod_rewrite-Regel lies sich das Problem bis auf weiteres abstellen:

<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /

  RewriteRule ^comment\.php.* / [L,forbidden]
</IfModule>

Wie ich dann eben zur Kontrolle in die Zugriffsprotokolle schaute, kam in mir der Gedanke auf, dass man diese Daten rein theoretisch und fast perfekt für eine DNSBL nutzen könnte, denn abgesehen von den vielen IP-Adressen änderte sich nichts. Alle Anfragen gingen auf die comment.php vom dort installierten Serendipity und sendeten weder einen Referer noch einen User-Agent.

Ein fehlender Referer sollte hier sicherlich nicht allein als Kriterium gelten, allerdings ist die Kombination aus beiden Einträgen sicherlich ein einmaliges Merkmal, denn zumindest die Browser senden doch mindestens ein "Mozilla/5.0" (o.ä.) und im Falle von Serendipity schicken "normale" Benutzer ihre Kommentare gar nicht an die comment.php, somit kann wohl jeder der die beiden Einträge nicht sendet als "Zombie-Computer" eingestuft und vielleicht auch beim E-Mail-Verkehr oder via etwas wie mod_dnsbl geblocked werden.

... natürlich nur, wenn der entsprechende Kunde mitmachen will, immerhin würden wir seine Daten weiterverwenden... :hmm:


Geschrieben von Bernd Holzmüller in Technik um 20:56 | Kommentare (4) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Schau auch mal, was Grischa dazu schreibt:

http://blog.brockha.us/index.php?/archives/81-Trackback-IP-Validierung.html
#1 Garvin (Homepage) am 09.08.2007 11:43 (Antwort)
Ich würde mich nicht darauf verlassen, dass die IP des sendenden Servers zwangsläufig mit der hinter der Domain übereinstimmt.

Mir fällt da spontan ein Webserver bei uns im Hause ein, der das nicht so handhabt ;-)

Ansonsten hat Malte sich gestern auch noch mal mit dem Thema beschäftigt:

http://blog.comdoxx.de/archives/552-Teergrube-fuer-Spammer....html
#1.1 Bernd Holzmüller (Homepage) am 09.08.2007 11:49 (Antwort)
Ja, man lässt Proxies aussen vor, das stimmt. Aber wenn man dafür auch 100% der Spammer ausschließt, sind die paar Prozent der Proxy-Nutzer IMHO verschmerzbar. Es geht ja auch "nur" um Trackbacks. ;-)
#2 Garvin am 09.08.2007 12:13 (Antwort)
Jaja, modrewrite ist schon was feines.. ;-)
#3 Hollii (Homepage) am 12.08.2007 20:26 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Written with s9y

Kommentare

Bernd Holzmüller zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d ass sie Dein Passwort in Klart ext speichern. Ist schon zu lange her, dass ich mich mit PPP(oE), CHAP und PAP auseinan derg [...]
Malte zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m einen DSL-Anschlussbrief von 1 &1 bekommen habe im Kundeninte rface das DSL-Passwort geänder t. Im Anschlussbrief war st and [...]
Bernd Holzmüller zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:29
Diese Information ist für Inte ressierte bereits in der Übers chrift enthalten. Ich glaub e nicht, dass es mir obliegt d en Marktbegleiter durch expliz ite [...]
Alphager zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:11
Hier hilft nur name and shame.
Tux2000 zu Bestes Firmware-Update der Geschichte
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve rgessen". Oder, fast noch schl immer: Bootloader so verkorkst , dass das Update nicht funkti oniert. Aber das Ding ist o hneh [...]

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de