Kommentare zu: Wordpress, Spamer und ein paar Blockaden … http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/ Uninteressante Neuigkeiten aus dem Leben eines Wahnsinnigen. Thu, 09 Sep 2010 10:54:56 +0000 http://wordpress.org/?v=2.7.1 hourly 1 Von: ordenadores madrid http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-9768 ordenadores madrid Thu, 11 Feb 2010 22:37:23 +0000 http://jaritsch.at/?p=1250#comment-9768 Thanks for the Information. Thanks for the Information.

]]> Von: Jürgen Jaritsch http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-4701 Jürgen Jaritsch Sun, 01 Mar 2009 16:21:55 +0000 http://jaritsch.at/?p=1250#comment-4701 Ja, gestern ging es wirklich extrem ab. Hatte selbst gute 50 Kommentare hier. Da ich hier ja selbst mitlogge kann ich dir sagen, dass es kein zuverlässiges Muster gibt, an dem man Bots erkennt. Die, die hier aufschlagen wechseln den Useragent, die URLs die aufgerufen werden, die Source IPs, kommen mal mit Referrer und mal ohne ... zum Kotzen :evil:. Ja, gestern ging es wirklich extrem ab. Hatte selbst gute 50 Kommentare hier. Da ich hier ja selbst mitlogge kann ich dir sagen, dass es kein zuverlässiges Muster gibt, an dem man Bots erkennt. Die, die hier aufschlagen wechseln den Useragent, die URLs die aufgerufen werden, die Source IPs, kommen mal mit Referrer und mal ohne … zum Kotzen :evil:.

]]> Von: killerbees19 http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-4700 killerbees19 Sun, 01 Mar 2009 16:11:32 +0000 http://jaritsch.at/?p=1250#comment-4700 Mit einer downloadbaren/abrufbaren Liste bzw. Script meiner gesammelten IP's kann ich leider noch immer nicht dienen, dafür fehlte mir einfach die Zeit. Jedoch gibt es eine lange Liste (über 700 Einträge) mit IP-Adressen. Es handelt sich dabei um ein nettes Bot Netzwerk, dass gestern eines meiner Projekte zugeflooded/zugespammt hat, das war die schlimmste Attacke der letzten Monate auf meine Projekte. Ich habe die Logfiles so gut wie möglich ausgefiltert, ich kann jedoch nicht ausschließen, dass vllt. 5-10 Einträge von normalen Usern sind. >99% aller IP's sollten aber von Bots sein. Teilweise Server und teilweise kompromitierte PC's, wie ich vermute. Und dank wechselnder IP's und Zwangstrennung wären diese <1% an fehlerhaften Einträge wohl verkraftbar. Viel Spaß damit: http://www.happytec.at/upload_files/bots/2009-02-28.txt MfG Christian Mit einer downloadbaren/abrufbaren Liste bzw. Script meiner gesammelten IP’s kann ich leider noch immer nicht dienen, dafür fehlte mir einfach die Zeit. Jedoch gibt es eine lange Liste (über 700 Einträge) mit IP-Adressen. Es handelt sich dabei um ein nettes Bot Netzwerk, dass gestern eines meiner Projekte zugeflooded/zugespammt hat, das war die schlimmste Attacke der letzten Monate auf meine Projekte. Ich habe die Logfiles so gut wie möglich ausgefiltert, ich kann jedoch nicht ausschließen, dass vllt. 5-10 Einträge von normalen Usern sind. >99% aller IP’s sollten aber von Bots sein. Teilweise Server und teilweise kompromitierte PC’s, wie ich vermute. Und dank wechselnder IP’s und Zwangstrennung wären diese <1% an fehlerhaften Einträge wohl verkraftbar. Viel Spaß damit: http://www.happytec.at/upload_files/bots/2009-02-28.txt

MfG Christian

]]> Von: Bux http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-4453 Bux Mon, 02 Feb 2009 15:25:39 +0000 http://jaritsch.at/?p=1250#comment-4453 So, nachdem jetzt bei uns auch um die 20 Spams am Tag landen, macht unser Wordpress nun auch ein mal täglich einen Besuch bei dir. Als Dankeschön gleich 2 neue Zahlenbündel. :) 94.229.65.173 194.8.75.163 So, nachdem jetzt bei uns auch um die 20 Spams am Tag landen, macht unser Wordpress nun auch ein mal täglich einen Besuch bei dir.
Als Dankeschön gleich 2 neue Zahlenbündel. :)

94.229.65.173
194.8.75.163

]]> Von: Jürgen Jaritsch http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3935 Jürgen Jaritsch Sat, 22 Nov 2008 18:02:50 +0000 http://jaritsch.at/?p=1250#comment-3935 Davon weiß ich aber nix, dass hier die Uhr falsch gehen soll :P. Davon weiß ich aber nix, dass hier die Uhr falsch gehen soll :P.

]]> Von: killerbees19 http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3928 killerbees19 Fri, 21 Nov 2008 21:08:10 +0000 http://jaritsch.at/?p=1250#comment-3928 Noch etwas, sry: Deine Uhr im Blog geht um eine Stunde vor ;-) MfG Christian Noch etwas, sry: Deine Uhr im Blog geht um eine Stunde vor ;-)

MfG Christian

]]> Von: killerbees19 http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3927 killerbees19 Fri, 21 Nov 2008 21:07:22 +0000 http://jaritsch.at/?p=1250#comment-3927 Nachtrag: Andernfalls wäre es für einen Hacker der Jackpot, wenn er direkt in die Apache Confis schreiben kann :D (kannst du die beiden Posts bitte zusammenfügen? :) Nachtrag: Andernfalls wäre es für einen Hacker der Jackpot, wenn er direkt in die Apache Confis schreiben kann :D

(kannst du die beiden Posts bitte zusammenfügen? :)

]]> Von: killerbees19 http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3926 killerbees19 Fri, 21 Nov 2008 21:04:29 +0000 http://jaritsch.at/?p=1250#comment-3926 Danke für den Hinweis Jürgen. Da ich gerade in Sachen Sicherheit absolut Paranoid bin und immer selbst versuche User auf Lecks hinzuweisen, habe ich daran natürlich gedacht. Mittels preg_match() wird jede Zeile verarbeitet und jeder IP-Block nochmals extra geprüft, ob er innerhalb von 1 und 255 liegt bzw. ein Jokerzeichen enthält. Da gehen also wirklich nur reine Zahlen durch :) MfG Christian Danke für den Hinweis Jürgen. Da ich gerade in Sachen Sicherheit absolut Paranoid bin und immer selbst versuche User auf Lecks hinzuweisen, habe ich daran natürlich gedacht. Mittels preg_match() wird jede Zeile verarbeitet und jeder IP-Block nochmals extra geprüft, ob er innerhalb von 1 und 255 liegt bzw. ein Jokerzeichen enthält. Da gehen also wirklich nur reine Zahlen durch :)

MfG Christian

]]> Von: Jürgen Jaritsch http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3923 Jürgen Jaritsch Fri, 21 Nov 2008 11:04:59 +0000 http://jaritsch.at/?p=1250#comment-3923 Freut mich zu hören. Bitte vergiss aber nicht den Sicherheitsaspekt - anbieten würde sich hier ein Line-Check, da du die Datei dann sowieso pro Zeile in die DB schreibst. Man bedenke bitte dass auch ich nicht zu 100% davor gefeit bin, dass meine Wordpress Installation irgendwann durch einen Leak gekapert wird - dann wäre auch die Datei manipulierbar (wird Zeit, dass ich diese ein paar Ebenen höher bunkere :)). Vertrauen ist gut ... den Rest kennen wir ja ;). Freut mich zu hören. Bitte vergiss aber nicht den Sicherheitsaspekt - anbieten würde sich hier ein Line-Check, da du die Datei dann sowieso pro Zeile in die DB schreibst. Man bedenke bitte dass auch ich nicht zu 100% davor gefeit bin, dass meine Wordpress Installation irgendwann durch einen Leak gekapert wird - dann wäre auch die Datei manipulierbar (wird Zeit, dass ich diese ein paar Ebenen höher bunkere :)). Vertrauen ist gut … den Rest kennen wir ja ;).

]]> Von: killerbees19 http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3922 killerbees19 Fri, 21 Nov 2008 10:49:46 +0000 http://jaritsch.at/?p=1250#comment-3922 Ich habe deine Liste jetzt auf meinem neuen vServer einmal per Script eingepflegt, einmal täglich kopiert es deine Liste in eine DB, die DB Inhalte werden danach in eine globale block.conf Datei geschrieben, die der Apache global für alle Verzeichnisse einbindet, danach gibts ein reload, falls sich etwas geändert hat. Dabei sind auch bereits Wildcards erlaubt und nur diese werden dann mittels mod_rewrite geblockt, alles andere ganz normal per <strong>Deny from xxx</strong>, dass gleiche vorgehen habe ich auch gleich für bestimmte Useragents implementiert. Jetzt muss ich das ganze eigentlich nur noch einmal für meine Webspace Accounts in Form einer .htaccess implementieren. Danke jedenfalls für deine Liste Jürgen, ich werde mein System noch überarbeiten, damit meine blockierten IP's auch global gelten und für jeden einsehbar sind. Die verwendeten Scripte für ein automatisches Synchronisieren stelle ich dann gerne zum Download bereit. Vorher muss ich es nur noch etwas verfeinern ;-) MfG Christian Ich habe deine Liste jetzt auf meinem neuen vServer einmal per Script eingepflegt, einmal täglich kopiert es deine Liste in eine DB, die DB Inhalte werden danach in eine globale block.conf Datei geschrieben, die der Apache global für alle Verzeichnisse einbindet, danach gibts ein reload, falls sich etwas geändert hat. Dabei sind auch bereits Wildcards erlaubt und nur diese werden dann mittels mod_rewrite geblockt, alles andere ganz normal per Deny from xxx, dass gleiche vorgehen habe ich auch gleich für bestimmte Useragents implementiert. Jetzt muss ich das ganze eigentlich nur noch einmal für meine Webspace Accounts in Form einer .htaccess implementieren.

Danke jedenfalls für deine Liste Jürgen, ich werde mein System noch überarbeiten, damit meine blockierten IP’s auch global gelten und für jeden einsehbar sind. Die verwendeten Scripte für ein automatisches Synchronisieren stelle ich dann gerne zum Download bereit. Vorher muss ich es nur noch etwas verfeinern ;-)

MfG Christian

]]> Von: Jürgen Jaritsch http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3920 Jürgen Jaritsch Thu, 20 Nov 2008 21:44:24 +0000 http://jaritsch.at/?p=1250#comment-3920 Tja, das hilft dir bei einzelnen IPs - über kurz oder lang sind meine Listen recht vollständig, so das sich auch Wildcards setzen lassen. Davon abgesehen: dass mod_rewrite die Performance in die Knie zwingt ist eine urban legend. Tja, das hilft dir bei einzelnen IPs - über kurz oder lang sind meine Listen recht vollständig, so das sich auch Wildcards setzen lassen. Davon abgesehen: dass mod_rewrite die Performance in die Knie zwingt ist eine urban legend.

]]> Von: killerbees19 http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3917 killerbees19 Thu, 20 Nov 2008 07:55:25 +0000 http://jaritsch.at/?p=1250#comment-3917 Nur einmal eine kleine Anmerkung noch: Ohne mod_rewrite würde das Ganze vermutlich schneller laufen. Denn ein einfaches <strong>Deny from xxx.xxx.xxx.xxx</strong> reicht bei IP's doch vollkommen aus ;-) MfG Christian Nur einmal eine kleine Anmerkung noch: Ohne mod_rewrite würde das Ganze vermutlich schneller laufen. Denn ein einfaches Deny from xxx.xxx.xxx.xxx reicht bei IP’s doch vollkommen aus ;-)

MfG Christian

]]> Von: Christian Lechner http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3392 Christian Lechner Sat, 13 Sep 2008 20:18:04 +0000 http://jaritsch.at/?p=1250#comment-3392 Hab' noch ne Spam IP: 194.3.27.124 Hat Akismet gerade ausgefiltert. Hab’ noch ne Spam IP: 194.3.27.124
Hat Akismet gerade ausgefiltert.

]]> Von: one http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3363 one Fri, 12 Sep 2008 06:58:38 +0000 http://jaritsch.at/?p=1250#comment-3363 Meine ist diesmal zum Glück nicht dabei. *lach* Meine ist diesmal zum Glück nicht dabei. *lach*

]]> Von: Jürgen Jaritsch http://jaritsch.at/2008/09/05/wordpress-spamer-und-ein-paar-blockaden/comment-page-1/#comment-3286 Jürgen Jaritsch Mon, 08 Sep 2008 12:05:40 +0000 http://jaritsch.at/?p=1250#comment-3286 @wolfi Drin ;). @wolfi Drin ;).

]]>