Spam- und brutforce-Attacken
Datum
Wie kann man sich wehren?
Seit einigen Monaten nehmen die Attacken auf meiner Webseite stetig zu und haben ein Ausmaß erreicht, welches ich nicht mehr ignorieren konnte. Aus diesem Grund ist mir die Einstellung neuer Artikel zeitlich nicht möglich gewesen.
Es gibt Dienste, die Anforderungen von bereits identifizierten schädlichen IDs stoppen, doch leider versagen viele dieser Programme. Es ist zu dem nur Recht und billig seine Naivität aufzugeben und damit zu rechnen, dass es sicher auch Dienste gibt, die selber Spam-Fluten auslösen um den Website-Betreiber in ein Abbo zu locken. Dies soll nicht die guten Absichten der sicher meisten seriösen Anbieter in den Schmutz ziehen – aber so ist unsere Welt heute.
Es gibt die Möglichkeit über die Konfigurationsdatei htaccess diese IPs auszuschließen. Eine bessere Methode ist es allerdings direkt dem Server eine Blacklist zu übergeben. Die riesigen Blacklists der Abboanbieter, die man durchaus auch kostenfrei im Netz finden kann, lassen sich meist allerdings nicht in den gemieteten Server schreiben, der Provider schützt sie vor Überlastung, denn die Listen sind umfangreich. Sie besitzen Einträge zwischen 35000 und 420000 IP-Adressen, vielleicht manche noch mehr – das ist das, was ich gefunden habe.
Es bleibt also nur manuell die Spamer herauszuschreiben.
IP-Adressen, die auf Ihre Webseite zugegriffen haben, werden protokolliert. Der Ordner, den Sie in ihrem Account finden, heißt meistens „log“, oder ähnlich. Hier finden Sie viele gepackte Textdateien, die aktuellen Zugriffe sind jedoch in einer ganz normalen, ungepackten Textdatei und können mit einem einfachen Texteditor geöffnet werden. Sie sehen dann pro Zeile eine IP-Adresse und weitere Informationen, unter anderem auch, worauf dieser user zugegriffen hat, eine Seite, ein Bild, ein Video usw. Wenn eine IP-Adresse immer wieder versucht hat Ihre Anmeldeseite aufzurufen, wird es sich wahrscheinlich um eine brute force attack gehandelt haben. Sie können eine IP-Adresse aber auch manuell online überprüfen lassen, z.B. mit diesem Dienst
Oft verfügen die Angreifer über eine Range von IP-Adressen, so dass Sie einfach eine Range von Adressen sperren.
/32 ist der spezifischste und „höchste“ Präfix in der CIDR-Notation. Es ist unnötig, wenn Sie nur eine einzelne IP-Adresse ansprechen oder blockieren wollen, denn dann können Sie die IP-Adresse auch ohne Präfix notieren.
Das /32-Präfix ist der höchste und spezifischste Eintrag in der CIDR-Notation, und es repräsentiert genau eine einzelne IP-Adresse.
Beispiele:
192.168.1.1/32 bedeutet nur die IP-Adresse 192.168.1.1. Es gibt keine weiteren IP-Adressen, die in diesen Bereich fallen.
195.2.74.148/32 bezieht sich nur auf die IP-Adresse 195.2.74.148 und keine andere.Weitere Präfixe und deren Bedeutung:
/31: Deckt 2 IP-Adressen ab.
/30: Deckt 4 IP-Adressen ab.
/24: Deckt 256 IP-Adressen ab (z.B. 192.168.1.0/24 für den Bereich 192.168.1.0 bis 192.168.1.255).
/0: Deckt alle IPv4-Adressen ab.
195.2.74.148/23 deckt den Bereich von 195.2.74.0 bis 195.2.75.255 ab.
Insgesamt werden 512 IP-Adressen abgedeckt.
Mit einem Onlinerechner ist es ganz einfach, denn wenn Sie das nicht oft machen müssen, geht das rätseln: „Wie war das nochmal“ wieder von vorne los.
update 17.12.2024
Mittlerweile konnte ich es eindämmen.Fast die Hälfte aller „Besucher“ waren Schädlinge. Jetzt sind es täglich unter 10. Damit das so bleibt ist allerdings eine tägliche Wartung nötig.
← Älter Neuer →