Technik

Gerade eben ist es mir wieder aufgefallen und gestern bin ich auch mehrmals drüber gestolpert:

Wenn ich etwas in eine .htaccess-Datei (besonders die von Kunden) schreibe, dann baue ich immer <IfModule>-Direktiven drum herrum. In unserem Falle eigentlich überflüssig, da alle Webserver aus "einem Guss" sind, also immer die selben Module vorweisen und man quasi davon ausgehen könnte, dass es auch ohne funktioniert.

Die andere Seite der Medallie gibt es natürlich auch: Mein Helferlein sollte gestern für einen Kunden eine eGroupware-Installation aufsetzen, die ihn nach Entpacken der Distribution erst einmal mit einem "internal Server Error" begrüßte...

... grund hierfür war wohl, dass der Spassvogel, der die .htaccess-Datei von eGroupware geschrieben hat, vorausgesetzt hat, dass auf dem Zielsystem entweder mod_php4 oder mod_php5 vorhanden ist. Ich mag sowas ja nicht... Die Tatsache, dass ein Webserver PHP-Skripte ausführen kann impliziert für mich noch lange nicht, dass dies über den passenden Apache-Handler geschieht. Es mag weit verbreitet sein, doch als Standard würde ich es dennoch nicht deklarieren wollen. Und warum dann nicht die Techniken für solche Fälle verwenden, die genau für so etwas gemacht worden sind. :hmm:

Ich bin ja für <IfModule>-Direktiven um jede Einstellung (solange sie nicht aus dem "core" stammt)

In den vergangenen zwei Wochen wurde ein Kunde immer wieder Opfer etwas, was wie DDOS-Attacken anmutete...

... im Prinzip waren sie das auch, nur war die Absicht des Verursachers sicherlich eine andere: Spam.

Bei dem Kunden gingen pro Minute mehrere tausend Anfragen ein, die der Webserver schlichtweg nicht mehr schnell genug abarbeiten konnte und seine Warteschlange in Folge dessen "überlief". Heute hatte ich mal die Schnautze voll und bin dem Problem auf den Grund gegangen.

Mit einer einfachen mod_rewrite-Regel lies sich das Problem bis auf weiteres abstellen:

<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /

  RewriteRule ^comment\.php.* / [L,forbidden]
</IfModule>

Wie ich dann eben zur Kontrolle in die Zugriffsprotokolle schaute, kam in mir der Gedanke auf, dass man diese Daten rein theoretisch und fast perfekt für eine DNSBL nutzen könnte, denn abgesehen von den vielen IP-Adressen änderte sich nichts. Alle Anfragen gingen auf die comment.php vom dort installierten Serendipity und sendeten weder einen Referer noch einen User-Agent.

Ein fehlender Referer sollte hier sicherlich nicht allein als Kriterium gelten, allerdings ist die Kombination aus beiden Einträgen sicherlich ein einmaliges Merkmal, denn zumindest die Browser senden doch mindestens ein "Mozilla/5.0" (o.ä.) und im Falle von Serendipity schicken "normale" Benutzer ihre Kommentare gar nicht an die comment.php, somit kann wohl jeder der die beiden Einträge nicht sendet als "Zombie-Computer" eingestuft und vielleicht auch beim E-Mail-Verkehr oder via etwas wie mod_dnsbl geblocked werden.

... natürlich nur, wenn der entsprechende Kunde mitmachen will, immerhin würden wir seine Daten weiterverwenden... :hmm:

Wir haben uns in den letzten Tagen ein wenig um unseren DDNS-Dienst gekümmert, der nicht vor allzu langer Zeit seinen ersten Geburtstag feiern durfte.

Rückblickend lässt sich sagen: Die Einführung war mit recht viel Arbeit im Vorfeld verbunden, danach lief aber alles so reibungslos, als hätte es diese Erweiterung unserer Domains schon immer gegeben. Mir sind bis heute keine wirklichen Probleme bekannt...

Wurde also Zeit, dass wir zum einen den Dienst selbst verbessern und ihn gleichsam auch besser in unser Kundeninterface mit integrieren. Letzteres habe ich gestern getan und seitdem...

Übersicht	... wird man nun im Kundeninterface schon auf der ersten Seite zum DDNS-Dienst mit einer Liste der eigenen DDNS-Domains und dem nützlichen Wiki-Link begrüßt...
Protokolle in neuem Gewand	... bekommt eine schönere Übersicht der Zugriffs- und Änderungs-Protokolle...
Ganz neu!	... und kann neuerdings die Domain auch direkt im Kundeninterface manuell bearbeiten... (Was wohl nur bedeuten kann, dass wir da ganz schnell einen "allgemeinen" DNS-Editor nachlegen müssen )