Forum & Fehlermeldungen

[Webbutterfly]

Hello Leute
Vielleicht wart ihr auch schon betroffen, entweder ist das Forum sehr langsam oder ihr bekommt Fehlermeldungen, dass die Seite nicht geladen werden kann (CGI)
Grund: Viel zu viele und unverständliche Zugriffe extrem aus den USA... Hab bist jetzt noch keine Möglichkeit gefunden diese zu blockieren... und der Server geht dadurch zeitweise in die Knie

[Juhu]

Wenn du die Möglichkeit hast .htaccess oder die confs zu ändern.
Dann setze ein redirect auf die IP adr 127.0..0.1 ab. Wenn der Absender der böse bube ist. Permanent redirect ist ein 30x Code.
Ich glaube 303 oder 301.
Das belastet den Apache nicht allzuviel, den Angreifer wird es freuen wenn er sich selbst hacked.

[Webbutterfly]

Das ist kein Hacking sondern, so nehme ich an, Bots...
Kannst ja an den Besucherzahlen ablesen:

Der Besucherrekord liegt bei 563 Besuchern, die am So 28. Apr 2024, 05:37 gleichzeitig online waren.

oder:

für das Forum total verrückte Zahlen...
was soll ich denn redirecten, die Besucher ?

[Juhu]

Bots kommen immer mit den IP-Adresse daher. und geben sich zu erkennen. In der Browser-Kennung findest du den Bot-Nama. (google, Bing oder Yanex). Wenn du solche Einträge findest, dann will da einer was, was ich nocht will.

34.150.216.162.bc.googleusercontent.com - - [29/Apr/2024:15:08:44 +0200] "GET / HTTP/1.1" 200 6477 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"
103.245.236.120 - - [29/Apr/2024:15:13:48 +0200] "GET /cgi-bin/orospucoc.cgi?user=messagebus&passwd=&cmd=15&system=dW5hbWUJLW0= HTTP/1.1" 404 441 "-" "-"
103.245.236.120 - - [29/Apr/2024:15:13:50 +0200] "GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=dW5hbWUJLW0= HTTP/1.1" 404 441 "-" "-"
103.245.236.120 - - [29/Apr/2024:15:13:50 +0200] "GET /.most/orospucoc.cgi?user=messagebus&passwd=&cmd=15&system=dW5hbWUJLW0= HTTP/1.1" 404 441 "-" "-"
166.88.244.35.bc.googleusercontent.com - - [29/Apr/2024:16:17:06 +0200] "\x16\x03\x01" 400 493 "-" "-"
166.88.244.35.bc.googleusercontent.com - - [29/Apr/2024:16:17:09 +0200] "OPTIONS / HTTP/1.0" 200 183 "-" "-"
h062040172161.moe.cm.kabsi.at - - [29/Apr/2024:16:31:03 +0200] "-" 408 0 "-" "-"
159.89.30.106 - - [29/Apr/2024:17:07:32 +0200] "\x16\x03\x01" 400 493 "-" "-"
87.121.69.52 - - [29/Apr/2024:18:10:33 +0200] "CONNECT google.com:443 HTTP/1.1" 405 505 "-" "Go-http-client/1.1"
li2038-209.members.linode.com - - [29/Apr/2024:19:02:17 +0200] "GET /0bef HTTP/1.0" 404 461 "-" "-"
ec2-3-8-1-40.eu-west-2.compute.amazonaws.com - - [29/Apr/2024:19:39:29 +0200] "\x16\x03\x01" 400 493 "-" "-"
ec2-3-8-1-40.eu-west-2.compute.amazonaws.com - - [29/Apr/2024:19:44:26 +0200] "\x16\x03\x01" 400 493 "-" "-"
ec2-3-8-1-40.eu-west-2.compute.amazonaws.com - - [29/Apr/2024:19:48:30 +0200] "\x16\x03\x01" 400 493 "-" "-"
ec2-3-8-1-40.eu-west-2.compute.amazonaws.com - - [29/Apr/2024:19:53:26 +0200] "\x16\x03\x01" 400 493 "-" "-"
ec2-3-8-1-40.eu-west-2.compute.amazonaws.com - - [29/Apr/2024:19:58:27 +0200] "\x16\x03\x01" 400 493 "-" "-"
ec2-3-8-1-40.eu-west-2.compute.amazonaws.com - - [29/Apr/2024:20:03:18 +0200] "\x16\x03\x01" 400 493 "-" "-"

Rechner aus dem guten Internetbereich melden sich so

159.65.156.57 - - [16/Jun/2023:22:34:42 +0200] "GET / HTTP/1.1" 200 1909 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36"
159.65.156.57 - - [16/Jun/2023:22:34:43 +0200] "GET /client/get_targets HTTP/1.1" 404 441 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36

Wenn jetzt so ein Bösling erkannt ist, dann kann man sofern das rewrite-Modul aktiv ist in die .htaccess die Einträge

RewriteCond %{HTTP_USER_AGENT} ^Expanse,\ a\ Palo\ Alto\ Network [NC]

in meinem Beispiel und damit er etwas beschäftig noch eine Rule

RewriteRule ^(.*)$ http://127.0.0.1/ [L,R=301]

hinzufügen.
Wenn der Bösling das brav programmiert hat, dann merkt er sich sogar das redirect und schaut nie wieder vorbei.
Im schlechtesten Fall steigen in der Webstatistik die 301 Meldungen

Die rewrite Möglichkeiten kann man auf Apacheseiten und unter https://www.redirect-htaccess.de/redirects nachlesen.
Als gute Möglichkeit des Einbaus bieten sich die apache-conf an oder (wenn es geht) die .htaccess.
Letztere benötigt nicht einmal einen Neustart.


Man kann auch etwas sinnvolles mit der rewrite-engine machen. z.B. beim Verzug oder Teilung eines Webservers kann man auch die Domaine umschreiben oder Request die auf http lauten auf https ändern. Oder Urls die in irgendwelchen Dokumenten gespeichert sind auf die neue Adresse ändern.

[Webbutterfly]

Hat sich erledigt, den Bot gefunden und ausgesperrt...

Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; ClaudeBot/1.0; +claudebot@anthropic.com)

hatte im Mai fast 400.000 Zugriffe auf unsere Seite... in 3 Tagen

[Juhu]

Das war wohl kein böser Bube sondern eine durchgeknallte KI
https://www.anthropic.com haben Jobs in London und Frisco zu vergeben.

[lingerry]

Du könntest ja mithilfe von mod_maxminddb in der .htaccess blockieren

Vielleicht funktioniert es ja.

[Webbutterfly]

...ist schon blockiert und funktioniert einwandfrei
in der .htaccess, nur a bisserl anders

Code: Alles auswählen

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^.*ClaudeBot.*$
RewriteCond %{REQUEST_URI} !robots\.txt
RewriteRule .* http://www.anthropic.com [R,L]
</IfModule>

[lingerry]

Yups, so geht es auch

[Juhu]

Und was lernt die KI daraus. Es gibt viele offene Jobs bei der Firma