» PHP Firewall blockt nun IPs von Spam-Bots

mgutt · 06.01.2012, 12:26

Dies ist eine simple aber sehr effiziente Firewall aus einer Kombination von PHP und .htaccess.

Funktionsweise
Bei jedem Aufruf unserer Seite prüft die .htaccess ob die Datei "firewall/{IP-Adresse}.txt" existiert und wenn ja dann stoppt das Script noch bevor irgendwelche belastenden Dateien geladen werden (wie z.B. die Datenbankverbindung usw.). Versehentlich gesperrte Besucher können sich jederzeit über ein reCaptcha wieder freischalten:

IP sperren
Wann Ihr eine IP sperrt müsst Ihr selber entscheiden. Dazu kann man versteckte Formulare nutzen, Verlinkungen, Grafiken usw. Oder man sperrt die IP bei bestimmten User-Agents oder wenn gegen die robots.txt verstoßen wird usw.

Zur Sperrung einer IP nutze ich diese Funktion:

function firewall_add($ip, $file, $line, $reason='') {
	$firewall_path = $_SERVER['DOCUMENT_ROOT'] . '/firewall/';
	$whitelist_path = $firewall_path . 'white/';
	// this ip has been already banned
	if (file_exists($firewall_path . $ip . '.txt')) {
		// index.php handles banned ips on itself
		if ($_SERVER['REQUEST_URI'] == '/') {
			return;
		}
		// all other requests are redirected to root's index.php
		$request_scheme = isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on' ? 'https' : 'http';
		$root_url = $request_scheme . '://' . $_SERVER['SERVER_NAME'] . '/';
		header('Location: ' . $root_url, true, 307);
		return;
	}
	// check if ip is whitelisted
	if (
		file_exists($whitelist_path . $ip . '.txt')
		&&
		// a whitelisted ip is valid for 24 hours
		(
			filemtime($whitelist_path . $ip . '.txt') + (60 * 60 * 24) > time()
			||
			!unlink($whitelist_path . $ip . '.txt')
		)
	) {
		return;
	}
	if (!file_put_contents($firewall_path . $ip . '.txt', print_r(array(
		'file' => $file,
		'line' => $line,
		'reason' => $reason,
		'server' => $_SERVER,
		'post' => $_POST,
		'get' => $_GET,
	), true))) {
		// create firewall path as it does not exist
		@mkdir($firewall_path);
	}
	http_response_code(403);
	header('Refresh: 1');
}

Ein Beispiel wären zu viele Login-Fehlversuche:

if ($login_tries > 3) {
	firewall_add($_SERVER['REMOTE_ADDR'], __FILE__, __LINE__, 'too many login attempts');
}

Oder man packt eine index.php als Honeypot mit folgendem Inhalt in das Verzeichnis "admin/" oder "phpmyadmin/", was bekanntlich gerne mal angetestet wird:

<?php
firewall_add($_SERVER['REMOTE_ADDR'], __FILE__, __LINE__, 'honeypot');
?>

Versteckte Links, denen nur Bots folgen, könnte man so setzen:

<a href="firewall.php" style="text-decoration:none;cursor:default;color:black" onmouseover="this.removeAttribute('href')">Copyright</a>

Dazu muss man aber "firewall.php" seiner robots.txt hinzufügen, damit gute Bots diese Datei gar nicht erst aufrufen!

Mein Tipp: Schaut mal in Eure Webserver-Logs und da insbesondere auf die mit dem Status 404. Ihr werdet Euch wundern wie viel Müll Euer Server da beantwortet.

Zugriffssperre
Der folgende Code in der .htaccess sorgt dann dafür, dass die IP die Seite nicht aufrufen kann:

# redirect if ip has been banned
ErrorDocument 403 /recaptcha.html
RewriteCond %{REQUEST_URI} !^/recaptcha\.html$
RewriteCond %{REQUEST_URI} !^/index\.php$
RewriteCond /usr/www/{YOUR_PATH}/firewall/%{REMOTE_ADDR} -f
RewriteRule . - [F,L]

Freischaltung
Alle gesperrten User landen nun auf der recaptcha.html (

your_site_key

anpassen!):

<html>
<head>
<meta name="viewport" content="initial-scale=1.0, width=device-width, user-scalable=no" />
<title>IP Check</title>
<script type="text/javascript">
var onloadCallback = function() {
	grecaptcha.render('html_element', {'sitekey' : 'your_site_key'});
};
</script>
</head>
<body>
<form action="/" method="POST">
<div id="html_element"></div>
<br>
<input type="submit" value="Submit">
</form>
<script src="https://www.google.com/recaptcha/api.js?onload=onloadCallback&render=explicit" async defer></script>
</body>
</html>

Hier macht sich bereits die Effizienz dieser Firewall bemerkbar. Denn diese recaptcha.html läuft nicht durch den PHP-Parser und es werden natürlich auch keine Datenbankabfragen ausgeführt.

Erst wenn der Besucher das Captcha löst und das Formular absendet, geht der Zugriff zur index.php, in der wir ganz oben das einfügen (

your_secret_key

anpassen!):

// firewall
// note: reCaptcha may need all alias domains
//       add new domains here: https://www.google.com/recaptcha/admin
$webmaster_email = '';
$firewall_path = $_SERVER['DOCUMENT_ROOT'] . '/firewall/';
$whitelist_path = $firewall_path . 'white/';
if (file_exists($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt')) {
	if (isset($_POST['g-recaptcha-response'])) {
		$url = 'https://www.google.com/recaptcha/api/siteverify';
		$data = array(
			'secret' => 'your_secret_key',
			'response' => $_POST['g-recaptcha-response'],
		);
		$options = array(
			'http' => array(
				'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
				'method'  => 'POST',
				'content' => http_build_query($data),
			)
		);
		$context = stream_context_create($options);
		if ($recaptcha_answer = file_get_contents($url, false, $context)) {
			$recaptcha_answer = json_decode($recaptcha_answer, true);
			if ($recaptcha_answer['success']) {
				if ($webmaster_email) mail($webmaster_email, 'IP ' .  $_SERVER['REMOTE_ADDR'] . ' entsperrt', @file_get_contents($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt'));
				// whitelist ip
				if (!rename($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt', $whitelist_path . $_SERVER['REMOTE_ADDR'] . '.txt')) {
					@mkdir($whitelist_path);
					rename($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt', $whitelist_path . $_SERVER['REMOTE_ADDR'] . '.txt');
				}
				// reset to avoid re-blocking our ip
				$_POST = array();
			}
		}
	}
	if (!isset($recaptcha_answer) || !$recaptcha_answer['success']) {
		include('recaptcha.html');
		if ($_SERVER['REQUEST_METHOD'] == 'POST') {
			echo 'Captcha Error!';
		}
		exit;
	}
}

Vorteile

jegliche unerwünschten Bots, seien es Spammer, Crawler, Sicherheitslücken-Scanner, usw. können keine Anfragen mehr an die Server-Dienste senden
der
```
-f
```
-Parameter in der .htaccess belastet nicht die Festplatte, da solche Anfragen über den Inode-Cache des Dateisystems beantwortet werden.
ein echter Besucher kann sich jederzeit per Captcha freischalten (wie viele kostenlose Firewalls kennt ihr, die das können?) und er hat damit die nächsten 24 Stunden Ruhe
keine Abhängigkeit vom technischen Dienstleister z.B. dem Hoster, der eine Hardware-Firewall stellen/betreiben würde

Nachteile

die Requests landen auf dem Server. Besser wäre es natürlich, wenn sie wie bei einer Hardware-Firewall diesen niemals erreichen würden.
wenn ein Angreifer das Captcha löst, hat er ebenfalls 24 Stunden lang Ruhe (evtl von Whitelist entfernen bei wiederholten schweren Vergehen?!)
andere sind mir keine bekannt

Firewall-Statistik (live)

Hier ist ein kleiner Auszug aus allen gesperrten IPs:

54.216.227.xxx (01.04.2024 05:42 Uhr)
79.110.62.xxx (22.04.2024 15:56 Uhr)
223.113.128.xxx (30.03.2024 20:56 Uhr)
34.245.189.xxx (28.03.2024 04:35 Uhr)
172.105.86.xxx (31.03.2024 21:24 Uhr)
63.35.179.xxx (30.03.2024 04:19 Uhr)
159.223.212.xxx (06.04.2024 01:17 Uhr)
35.167.41.xxx (29.03.2024 09:48 Uhr)
167.71.66.xxx (12.04.2024 18:07 Uhr)
139.162.160.xxx (20.04.2024 18:04 Uhr)
54.166.238.xxx (31.03.2024 12:04 Uhr)
172.233.44.xxx (16.04.2024 20:26 Uhr)
54.197.64.xxx (28.03.2024 09:04 Uhr)
54.194.112.xxx (28.03.2024 04:14 Uhr)
172.232.219.xxx (24.04.2024 10:56 Uhr)
3.22.240.xxx (18.04.2024 02:09 Uhr)
3.253.123.xxx (27.03.2024 04:39 Uhr)
172.105.95.xxx (05.04.2024 19:17 Uhr)
209.38.202.xxx (04.04.2024 01:38 Uhr)
3.87.25.xxx (17.04.2024 16:08 Uhr)
152.42.141.xxx (06.04.2024 07:58 Uhr)
69.171.251.xxx (28.03.2024 05:06 Uhr)
178.62.246.xxx (23.04.2024 05:58 Uhr)
34.247.32.xxx (28.03.2024 04:13 Uhr)
35.173.215.xxx (29.03.2024 05:43 Uhr)
34.254.99.xxx (28.03.2024 04:13 Uhr)
165.227.167.xxx (21.04.2024 13:42 Uhr)
54.246.243.xxx (30.03.2024 04:21 Uhr)
188.166.52.xxx (08.04.2024 21:07 Uhr)
3.145.183.xxx (18.04.2024 02:08 Uhr)
35.172.150.xxx (03.04.2024 05:39 Uhr)
54.224.162.xxx (31.03.2024 11:49 Uhr)
128.90.141.xxx (01.04.2024 15:32 Uhr)
63.33.70.xxx (29.03.2024 04:25 Uhr)
34.227.88.xxx (11.04.2024 12:04 Uhr)
172.105.74.xxx (14.04.2024 12:31 Uhr)
54.36.148.xxx (03.04.2024 03:54 Uhr)
3.254.83.xxx (01.04.2024 05:12 Uhr)
165.22.192.xxx (14.04.2024 00:27 Uhr)
172.233.248.xxx (03.04.2024 23:12 Uhr)
52.16.216.xxx (29.03.2024 04:18 Uhr)
3.255.202.xxx (28.03.2024 04:47 Uhr)
18.234.159.xxx (22.04.2024 17:27 Uhr)
165.22.75.xxx (14.04.2024 08:09 Uhr)
152.42.160.xxx (15.04.2024 10:32 Uhr)
91.52.59.xxx (09.04.2024 20:02 Uhr)
52.211.180.xxx (30.03.2024 04:38 Uhr)
172.233.248.xxx (23.04.2024 10:08 Uhr)
34.244.62.xxx (02.04.2024 05:16 Uhr)
3.239.119.xxx (28.03.2024 09:44 Uhr)
192.169.169.xxx (29.03.2024 03:33 Uhr)
81.247.149.xxx (11.04.2024 18:09 Uhr)
44.222.63.xxx (29.03.2024 06:29 Uhr)
78.47.39.xxx (22.04.2024 10:22 Uhr)
123.126.68.xxx (06.04.2024 06:34 Uhr)
54.146.36.xxx (21.04.2024 12:40 Uhr)
75.101.216.xxx (22.04.2024 16:54 Uhr)
172.232.53.xxx (02.04.2024 08:15 Uhr)
61.135.159.xxx (31.03.2024 10:45 Uhr)
54.36.148.xxx (18.04.2024 06:20 Uhr)
207.154.207.xxx (17.04.2024 08:53 Uhr)
172.232.211.xxx (18.04.2024 17:20 Uhr)
64.226.84.xxx (02.04.2024 10:04 Uhr)
209.38.204.xxx (08.04.2024 08:56 Uhr)
54.36.149.xxx (31.03.2024 04:23 Uhr)
172.104.251.xxx (04.04.2024 14:46 Uhr)
162.241.219.xxx (28.03.2024 18:18 Uhr)
54.216.219.xxx (28.03.2024 04:41 Uhr)
123.244.130.xxx (14.04.2024 08:25 Uhr)
54.205.45.xxx (17.04.2024 05:40 Uhr)
54.36.148.xxx (13.04.2024 21:21 Uhr)
54.198.63.xxx (03.04.2024 00:59 Uhr)
3.81.57.xxx (29.03.2024 05:46 Uhr)
139.177.180.xxx (22.04.2024 20:25 Uhr)
174.129.190.xxx (29.03.2024 06:16 Uhr)
172.104.240.xxx (05.04.2024 18:41 Uhr)
52.90.218.xxx (13.04.2024 07:26 Uhr)
3.235.76.xxx (29.03.2024 06:16 Uhr)
172.104.203.xxx (15.04.2024 18:40 Uhr)
52.55.207.xxx (24.04.2024 07:07 Uhr)
63.35.199.xxx (30.03.2024 04:45 Uhr)
54.81.33.xxx (28.03.2024 09:36 Uhr)
52.32.165.xxx (12.04.2024 17:55 Uhr)
172.232.50.xxx (26.04.2024 11:05 Uhr)
172.233.44.xxx (24.04.2024 18:50 Uhr)
164.90.181.xxx (05.04.2024 13:31 Uhr)
142.93.228.xxx (23.04.2024 01:17 Uhr)
172.104.145.xxx (17.04.2024 17:08 Uhr)
139.162.165.xxx (14.04.2024 10:43 Uhr)
164.90.203.xxx (31.03.2024 22:10 Uhr)
54.80.109.xxx (17.04.2024 22:45 Uhr)
172.232.35.xxx (31.03.2024 21:06 Uhr)
18.203.98.xxx (29.03.2024 04:35 Uhr)
174.138.13.xxx (07.04.2024 00:00 Uhr)
18.206.238.xxx (29.03.2024 07:06 Uhr)
146.190.20.xxx (18.04.2024 16:39 Uhr)
54.244.183.xxx (19.04.2024 07:47 Uhr)
54.196.16.xxx (15.04.2024 21:51 Uhr)
46.4.104.xxx (22.04.2024 19:32 Uhr)
11962 IPs insgesamt

Bulid · 07.01.2012, 23:51

yeha supii

immer aussperren was man nicht brauch schöne idee

Chimera · 12.01.2012, 21:17

Ich will dir da garnicht in die Technik reinreden, dazu kenn ich den Hintergrund des Projektes nicht genug.
Aber da ich vermute das dies auf Linuxbasis läuft, wäre es nicht besser sowas an z.B. fail2ban zu übergeben?
Dieses reagiert auf bestimmte Massenzugriffe (Regexp) in der access.log des Webservers und sperrt die entsprechende IP dann direkt für einen Port für Zeit X ,nachdem dies Anzahl Y aufgetreten ist, mittels iptables oder entsprechenden Paketfiltern.
Somit würden weitere Anfragen garnicht erst vom Server bearbeitet, sondern Pakete werden direkt gedropt. Auch ergibt sich hierdurch nach der Konfiguration ein gewisser Automatismus und es entfällt ein größerer Pflegeaufwand.

Somit könnte man auch direkt Spider von bestimmten Diensten aussperren, auch wenn diese die robots.txt ignorieren. Durch die Nutzung von regular expressions ist eine größere Bandbreite an Möglichkeiten gegeben, auch für z.B. andere Dienste.

Woll-E · 13.01.2012, 01:44

Die Firewall, die du meinst, ist dafür ungeeignet, da du damit den Content der Abfragen nicht richtig nachvollziehen kannst. Die Lösung von Marc soll verhindern, dass sich Spambots hier anmelden und einfach rumspamen können wie sie wollen. Die kannst du auch nicht mit fail2ban (wie der Name schon sagt) bannen, da die keinen fail produzieren.

mgutt · 13.01.2012, 07:30

Klar ist es von der Performance her besser, wenn man mit iptables blockt. Noch besser wäre eine Hardware-Firewall.

Von solchen Lösungen halte ich nichts, weil man da kein Captcha ausgeben kann, außer man programmiert eine Schnittstelle zwischen Webserver und Firewall. Da so eine Lösung aber sehr speziell ist und Umstellungen auf neue Server kompliziert macht, lasse ich lieber gleich die Finger davon. Das gibt immer nur Stress und der Vorteil ist marginal.

Und ohne Captcha ist doof, weil es immer sein kann, dass ein Angreifer eine öffentliche IP genutzt hat (z.B. Trojaner-verseuchter Rechner). Es wartet kein Besucher 24 Stunden bis eine automatische Bereinigung erfolgt.

Chimera · 13.01.2012, 20:44

Oh ja, aber die Auswertungen der access Logs sind ohnehin nur Schätzwerte.
Aber stimmt schon, rein Spammer sind damit kaum zu bekommen, es sei denn diese verwenden immer andere Aufrufe als ein regulärer Zugriff.
Die Sperrfrist muss ja nicht auf 24h liegen, 20 oder sogar 10 Minuten können da schon Wunder vollbringen.

Sollte aber auch nur als Anstoß dienen, falls das evtl. noch garnicht in Betracht gezogen war.

mgutt · 21.01.2012, 16:24

Auf der Startseite ist jetzt ein Link, der einen auf eine Seite führt, die laut robots.txt verboten ist. Wird der Link geöffnet, so löst das automatisch eine Sperre der IP aus. Damit sind nun auch böse Crawler abgedeckt, die sich nicht an die robots.txt halten.

maxrev.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "PHP Firewall blockt nun IPs von Spam-Bots" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	06.01.2012, 12:26 zitieren Dies ist eine simple aber sehr effiziente Firewall aus einer Kombination von PHP und .htaccess. Funktionsweise Bei jedem Aufruf unserer Seite prüft die .htaccess ob die Datei "firewall/{IP-Adresse}.txt" existiert und wenn ja dann stoppt das Script noch bevor irgendwelche belastenden Dateien geladen werden (wie z.B. die Datenbankverbindung usw.). Versehentlich gesperrte Besucher können sich jederzeit über ein reCaptcha wieder freischalten: IP sperren Wann Ihr eine IP sperrt müsst Ihr selber entscheiden. Dazu kann man versteckte Formulare nutzen, Verlinkungen, Grafiken usw. Oder man sperrt die IP bei bestimmten User-Agents oder wenn gegen die robots.txt verstoßen wird usw. Zur Sperrung einer IP nutze ich diese Funktion: function firewall_add($ip, $file, $line, $reason='') { $firewall_path = $_SERVER['DOCUMENT_ROOT'] . '/firewall/'; $whitelist_path = $firewall_path . 'white/'; // this ip has been already banned if (file_exists($firewall_path . $ip . '.txt')) { // index.php handles banned ips on itself if ($_SERVER['REQUEST_URI'] == '/') { return; } // all other requests are redirected to root's index.php $request_scheme = isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on' ? 'https' : 'http'; $root_url = $request_scheme . '://' . $_SERVER['SERVER_NAME'] . '/'; header('Location: ' . $root_url, true, 307); return; } // check if ip is whitelisted if ( file_exists($whitelist_path . $ip . '.txt') && // a whitelisted ip is valid for 24 hours ( filemtime($whitelist_path . $ip . '.txt') + (60 * 60 * 24) > time() \|\| !unlink($whitelist_path . $ip . '.txt') ) ) { return; } if (!file_put_contents($firewall_path . $ip . '.txt', print_r(array( 'file' => $file, 'line' => $line, 'reason' => $reason, 'server' => $_SERVER, 'post' => $_POST, 'get' => $_GET, ), true))) { // create firewall path as it does not exist @mkdir($firewall_path); } http_response_code(403); header('Refresh: 1'); } Ein Beispiel wären zu viele Login-Fehlversuche: `if ($login_tries > 3) { firewall_add($_SERVER['REMOTE_ADDR'], __FILE__, __LINE__, 'too many login attempts'); }` Oder man packt eine index.php als Honeypot mit folgendem Inhalt in das Verzeichnis "admin/" oder "phpmyadmin/", was bekanntlich gerne mal angetestet wird: `<?php firewall_add($_SERVER['REMOTE_ADDR'], __FILE__, __LINE__, 'honeypot'); ?>` Versteckte Links, denen nur Bots folgen, könnte man so setzen: `<a href="firewall.php" style="text-decoration:none;cursor:default;color:black" onmouseover="this.removeAttribute('href')">Copyright</a>` Dazu muss man aber "firewall.php" seiner robots.txt hinzufügen, damit gute Bots diese Datei gar nicht erst aufrufen! Mein Tipp: Schaut mal in Eure Webserver-Logs und da insbesondere auf die mit dem Status 404. Ihr werdet Euch wundern wie viel Müll Euer Server da beantwortet. Zugriffssperre Der folgende Code in der .htaccess sorgt dann dafür, dass die IP die Seite nicht aufrufen kann: `# redirect if ip has been banned ErrorDocument 403 /recaptcha.html RewriteCond %{REQUEST_URI} !^/recaptcha\.html$ RewriteCond %{REQUEST_URI} !^/index\.php$ RewriteCond /usr/www/{YOUR_PATH}/firewall/%{REMOTE_ADDR} -f RewriteRule . - [F,L]` Freischaltung Alle gesperrten User landen nun auf der recaptcha.html ( `your_site_key` anpassen!): <html> <head> <meta name="viewport" content="initial-scale=1.0, width=device-width, user-scalable=no" /> <title>IP Check</title> <script type="text/javascript"> var onloadCallback = function() { grecaptcha.render('html_element', {'sitekey' : 'your_site_key'}); }; </script> </head> <body> <form action="/" method="POST"> <div id="html_element"></div> <br> <input type="submit" value="Submit"> </form> <script src="https://www.google.com/recaptcha/api.js?onload=onloadCallback&render=explicit" async defer></script> </body> </html> Hier macht sich bereits die Effizienz dieser Firewall bemerkbar. Denn diese recaptcha.html läuft nicht durch den PHP-Parser und es werden natürlich auch keine Datenbankabfragen ausgeführt. Erst wenn der Besucher das Captcha löst und das Formular absendet, geht der Zugriff zur index.php, in der wir ganz oben das einfügen ( `your_secret_key` anpassen!): // firewall // note: reCaptcha may need all alias domains // add new domains here: https://www.google.com/recaptcha/admin $webmaster_email = ''; $firewall_path = $_SERVER['DOCUMENT_ROOT'] . '/firewall/'; $whitelist_path = $firewall_path . 'white/'; if (file_exists($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt')) { if (isset($_POST['g-recaptcha-response'])) { $url = 'https://www.google.com/recaptcha/api/siteverify'; $data = array( 'secret' => 'your_secret_key', 'response' => $_POST['g-recaptcha-response'], ); $options = array( 'http' => array( 'header' => "Content-type: application/x-www-form-urlencoded\r\n", 'method' => 'POST', 'content' => http_build_query($data), ) ); $context = stream_context_create($options); if ($recaptcha_answer = file_get_contents($url, false, $context)) { $recaptcha_answer = json_decode($recaptcha_answer, true); if ($recaptcha_answer['success']) { if ($webmaster_email) mail($webmaster_email, 'IP ' . $_SERVER['REMOTE_ADDR'] . ' entsperrt', @file_get_contents($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt')); // whitelist ip if (!rename($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt', $whitelist_path . $_SERVER['REMOTE_ADDR'] . '.txt')) { @mkdir($whitelist_path); rename($firewall_path . $_SERVER['REMOTE_ADDR'] . '.txt', $whitelist_path . $_SERVER['REMOTE_ADDR'] . '.txt'); } // reset to avoid re-blocking our ip $_POST = array(); } } } if (!isset($recaptcha_answer) \|\| !$recaptcha_answer['success']) { include('recaptcha.html'); if ($_SERVER['REQUEST_METHOD'] == 'POST') { echo 'Captcha Error!'; } exit; } } Vorteile jegliche unerwünschten Bots, seien es Spammer, Crawler, Sicherheitslücken-Scanner, usw. können keine Anfragen mehr an die Server-Dienste senden der `-f` -Parameter in der .htaccess belastet nicht die Festplatte, da solche Anfragen über den Inode-Cache des Dateisystems beantwortet werden. ein echter Besucher kann sich jederzeit per Captcha freischalten (wie viele kostenlose Firewalls kennt ihr, die das können?) und er hat damit die nächsten 24 Stunden Ruhe keine Abhängigkeit vom technischen Dienstleister z.B. dem Hoster, der eine Hardware-Firewall stellen/betreiben würde Nachteile die Requests landen auf dem Server. Besser wäre es natürlich, wenn sie wie bei einer Hardware-Firewall diesen niemals erreichen würden. wenn ein Angreifer das Captcha löst, hat er ebenfalls 24 Stunden lang Ruhe (evtl von Whitelist entfernen bei wiederholten schweren Vergehen?!) andere sind mir keine bekannt Firewall-Statistik (live) Hier ist ein kleiner Auszug aus allen gesperrten IPs: 54.216.227.xxx (01.04.2024 05:42 Uhr) 79.110.62.xxx (22.04.2024 15:56 Uhr) 223.113.128.xxx (30.03.2024 20:56 Uhr) 34.245.189.xxx (28.03.2024 04:35 Uhr) 172.105.86.xxx (31.03.2024 21:24 Uhr) 63.35.179.xxx (30.03.2024 04:19 Uhr) 159.223.212.xxx (06.04.2024 01:17 Uhr) 35.167.41.xxx (29.03.2024 09:48 Uhr) 167.71.66.xxx (12.04.2024 18:07 Uhr) 139.162.160.xxx (20.04.2024 18:04 Uhr) 54.166.238.xxx (31.03.2024 12:04 Uhr) 172.233.44.xxx (16.04.2024 20:26 Uhr) 54.197.64.xxx (28.03.2024 09:04 Uhr) 54.194.112.xxx (28.03.2024 04:14 Uhr) 172.232.219.xxx (24.04.2024 10:56 Uhr) 3.22.240.xxx (18.04.2024 02:09 Uhr) 3.253.123.xxx (27.03.2024 04:39 Uhr) 172.105.95.xxx (05.04.2024 19:17 Uhr) 209.38.202.xxx (04.04.2024 01:38 Uhr) 3.87.25.xxx (17.04.2024 16:08 Uhr) 152.42.141.xxx (06.04.2024 07:58 Uhr) 69.171.251.xxx (28.03.2024 05:06 Uhr) 178.62.246.xxx (23.04.2024 05:58 Uhr) 34.247.32.xxx (28.03.2024 04:13 Uhr) 35.173.215.xxx (29.03.2024 05:43 Uhr) 34.254.99.xxx (28.03.2024 04:13 Uhr) 165.227.167.xxx (21.04.2024 13:42 Uhr) 54.246.243.xxx (30.03.2024 04:21 Uhr) 188.166.52.xxx (08.04.2024 21:07 Uhr) 3.145.183.xxx (18.04.2024 02:08 Uhr) 35.172.150.xxx (03.04.2024 05:39 Uhr) 54.224.162.xxx (31.03.2024 11:49 Uhr) 128.90.141.xxx (01.04.2024 15:32 Uhr) 63.33.70.xxx (29.03.2024 04:25 Uhr) 34.227.88.xxx (11.04.2024 12:04 Uhr) 172.105.74.xxx (14.04.2024 12:31 Uhr) 54.36.148.xxx (03.04.2024 03:54 Uhr) 3.254.83.xxx (01.04.2024 05:12 Uhr) 165.22.192.xxx (14.04.2024 00:27 Uhr) 172.233.248.xxx (03.04.2024 23:12 Uhr) 52.16.216.xxx (29.03.2024 04:18 Uhr) 3.255.202.xxx (28.03.2024 04:47 Uhr) 18.234.159.xxx (22.04.2024 17:27 Uhr) 165.22.75.xxx (14.04.2024 08:09 Uhr) 152.42.160.xxx (15.04.2024 10:32 Uhr) 91.52.59.xxx (09.04.2024 20:02 Uhr) 52.211.180.xxx (30.03.2024 04:38 Uhr) 172.233.248.xxx (23.04.2024 10:08 Uhr) 34.244.62.xxx (02.04.2024 05:16 Uhr) 3.239.119.xxx (28.03.2024 09:44 Uhr) 192.169.169.xxx (29.03.2024 03:33 Uhr) 81.247.149.xxx (11.04.2024 18:09 Uhr) 44.222.63.xxx (29.03.2024 06:29 Uhr) 78.47.39.xxx (22.04.2024 10:22 Uhr) 123.126.68.xxx (06.04.2024 06:34 Uhr) 54.146.36.xxx (21.04.2024 12:40 Uhr) 75.101.216.xxx (22.04.2024 16:54 Uhr) 172.232.53.xxx (02.04.2024 08:15 Uhr) 61.135.159.xxx (31.03.2024 10:45 Uhr) 54.36.148.xxx (18.04.2024 06:20 Uhr) 207.154.207.xxx (17.04.2024 08:53 Uhr) 172.232.211.xxx (18.04.2024 17:20 Uhr) 64.226.84.xxx (02.04.2024 10:04 Uhr) 209.38.204.xxx (08.04.2024 08:56 Uhr) 54.36.149.xxx (31.03.2024 04:23 Uhr) 172.104.251.xxx (04.04.2024 14:46 Uhr) 162.241.219.xxx (28.03.2024 18:18 Uhr) 54.216.219.xxx (28.03.2024 04:41 Uhr) 123.244.130.xxx (14.04.2024 08:25 Uhr) 54.205.45.xxx (17.04.2024 05:40 Uhr) 54.36.148.xxx (13.04.2024 21:21 Uhr) 54.198.63.xxx (03.04.2024 00:59 Uhr) 3.81.57.xxx (29.03.2024 05:46 Uhr) 139.177.180.xxx (22.04.2024 20:25 Uhr) 174.129.190.xxx (29.03.2024 06:16 Uhr) 172.104.240.xxx (05.04.2024 18:41 Uhr) 52.90.218.xxx (13.04.2024 07:26 Uhr) 3.235.76.xxx (29.03.2024 06:16 Uhr) 172.104.203.xxx (15.04.2024 18:40 Uhr) 52.55.207.xxx (24.04.2024 07:07 Uhr) 63.35.199.xxx (30.03.2024 04:45 Uhr) 54.81.33.xxx (28.03.2024 09:36 Uhr) 52.32.165.xxx (12.04.2024 17:55 Uhr) 172.232.50.xxx (26.04.2024 11:05 Uhr) 172.233.44.xxx (24.04.2024 18:50 Uhr) 164.90.181.xxx (05.04.2024 13:31 Uhr) 142.93.228.xxx (23.04.2024 01:17 Uhr) 172.104.145.xxx (17.04.2024 17:08 Uhr) 139.162.165.xxx (14.04.2024 10:43 Uhr) 164.90.203.xxx (31.03.2024 22:10 Uhr) 54.80.109.xxx (17.04.2024 22:45 Uhr) 172.232.35.xxx (31.03.2024 21:06 Uhr) 18.203.98.xxx (29.03.2024 04:35 Uhr) 174.138.13.xxx (07.04.2024 00:00 Uhr) 18.206.238.xxx (29.03.2024 07:06 Uhr) 146.190.20.xxx (18.04.2024 16:39 Uhr) 54.244.183.xxx (19.04.2024 07:47 Uhr) 54.196.16.xxx (15.04.2024 21:51 Uhr) 46.4.104.xxx (22.04.2024 19:32 Uhr) 11962 IPs insgesamt Gefällt mir Teilen twittern61x bearbeitet
▲	pn email

Bulid Elite Name: Nils Geschlecht: Fahrzeug: Civic EG4R.I.P, EJ9SOLD,CRX ED9SOLD, ´96 EJ6Sleep, ´97MA8Daylie Anmeldedatum: 10.01.2009 Beiträge: 1652 Wohnort: Cottbus Meine eBay-Auktionen:	07.01.2012, 23:51 zitieren yeha supii immer aussperren was man nicht brauch schöne idee
▲	pn

Chimera Junior Name: Florian Geschlecht: Fahrzeug: Prelude BB9 Anmeldedatum: 30.04.2010 Beiträge: 96 Wohnort: 79713 & 30900	12.01.2012, 21:17 zitieren Ich will dir da garnicht in die Technik reinreden, dazu kenn ich den Hintergrund des Projektes nicht genug. Aber da ich vermute das dies auf Linuxbasis läuft, wäre es nicht besser sowas an z.B. fail2ban zu übergeben? Dieses reagiert auf bestimmte Massenzugriffe (Regexp) in der access.log des Webservers und sperrt die entsprechende IP dann direkt für einen Port für Zeit X ,nachdem dies Anzahl Y aufgetreten ist, mittels iptables oder entsprechenden Paketfiltern. Somit würden weitere Anfragen garnicht erst vom Server bearbeitet, sondern Pakete werden direkt gedropt. Auch ergibt sich hierdurch nach der Konfiguration ein gewisser Automatismus und es entfällt ein größerer Pflegeaufwand. Somit könnte man auch direkt Spider von bestimmten Diensten aussperren, auch wenn diese die robots.txt ignorieren. Durch die Nutzung von regular expressions ist eine größere Bandbreite an Möglichkeiten gegeben, auch für z.B. andere Dienste. 1x bearbeitet
▲	pn

Woll-E Premium-Member Name: Woll-E Geschlecht: Fahrzeug: EH6 Anmeldedatum: 03.05.2009 Beiträge: 21228 Wohnort: Köln	13.01.2012, 01:44 zitieren Die Firewall, die du meinst, ist dafür ungeeignet, da du damit den Content der Abfragen nicht richtig nachvollziehen kannst. Die Lösung von Marc soll verhindern, dass sich Spambots hier anmelden und einfach rumspamen können wie sie wollen. Die kannst du auch nicht mit fail2ban (wie der Name schon sagt) bannen, da die keinen fail produzieren.
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	13.01.2012, 07:30 zitieren Klar ist es von der Performance her besser, wenn man mit iptables blockt. Noch besser wäre eine Hardware-Firewall. Von solchen Lösungen halte ich nichts, weil man da kein Captcha ausgeben kann, außer man programmiert eine Schnittstelle zwischen Webserver und Firewall. Da so eine Lösung aber sehr speziell ist und Umstellungen auf neue Server kompliziert macht, lasse ich lieber gleich die Finger davon. Das gibt immer nur Stress und der Vorteil ist marginal. Und ohne Captcha ist doof, weil es immer sein kann, dass ein Angreifer eine öffentliche IP genutzt hat (z.B. Trojaner-verseuchter Rechner). Es wartet kein Besucher 24 Stunden bis eine automatische Bereinigung erfolgt. Verfasst am: 13.01.2012, 07:33 zitieren P.S. die Login-Seite ist für Crawler verboten: http://www.maxrev.de/robots.txt Entsprechend sind aktuell nur böse Bots betroffen. Allerdings werde ich noch für böse Crawler, die keine Formulare absenden, sondern nur Links folgen einen Link auf die Startseite packen, dessen Aufruf auch sofort zur Sperre führt Verfasst am: 13.01.2012, 07:34 zitieren Was ich übrigens auch interessant finde, ist dass die Bots sehr häufig den User Agent vom Internet Explorer 6 senden. Ich denke mal die Statistiken, die man häufig findet, wo der IE6 noch so und so viel Prozent der Besucher ausmacht, kann man wohl vergessen. Alles nur Bots ^^
▲	pn email

Chimera Junior Name: Florian Geschlecht: Fahrzeug: Prelude BB9 Anmeldedatum: 30.04.2010 Beiträge: 96 Wohnort: 79713 & 30900	13.01.2012, 20:44 zitieren Oh ja, aber die Auswertungen der access Logs sind ohnehin nur Schätzwerte. Aber stimmt schon, rein Spammer sind damit kaum zu bekommen, es sei denn diese verwenden immer andere Aufrufe als ein regulärer Zugriff. Die Sperrfrist muss ja nicht auf 24h liegen, 20 oder sogar 10 Minuten können da schon Wunder vollbringen. Sollte aber auch nur als Anstoß dienen, falls das evtl. noch garnicht in Betracht gezogen war.
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	21.01.2012, 16:24 zitieren Auf der Startseite ist jetzt ein Link, der einen auf eine Seite führt, die laut robots.txt verboten ist. Wird der Link geöffnet, so löst das automatisch eine Sperre der IP aus. Damit sind nun auch böse Crawler abgedeckt, die sich nicht an die robots.txt halten. Verfasst am: 15.02.2012, 17:13 zitieren Die Firewall blockiert nun alle Zugriffe, die in Ihrem User Agent "HTTrack" angegeben haben. HTTrack ist eine Software, die Privatpersonen ermöglicht unsere Website inkl. aller Bilder herunterzuladen: http://de.wikipedia.org/wiki/HTTrack_Website_Copier Da unsere Website aber aus mehreren Millionen Dateien besteht, würde der Kopiervorgang vermutlich eh nie enden und wir möchten auch gar nicht, dass jemand unsere Seite kopiert, geschweige denn unsere Server mit solchen Anfragen belastet.
▲	pn email

maxrev.de Gast	29.03.2017, 07:44 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "PHP Firewall blockt nun IPs von Spam-Bots" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
Auf der Suche nach einem Programmierer, der Bots schreiben kann! Gute Bezahlung! Ich bin auf der Suche nach jemanden, der mir Bots schreiben kann. Für mich ist das wirklich eine sehr wichtige Aufgabe und total ernst gemeint. Bei Interesse bitte melden, wie oben gesagt, ist die Bezahlung super!... von blakcbeard	0 192	27.05.2018, 17:57 blakcbeard
Windows Firewall Den kannte ich noch gar nicht.... [Offtopic]von mgutt	4 97	11.09.2015, 09:03 mgutt
robots.txt für Honeypot-Firewall nutzen In unserem Forum nutzen wir eine PHP Firewall, die hier näher beschrieben wird: http://www.maxrev.de/php-firewall-blockt-nun-ips-von-spam-bots-t234957.htm Diese haben wir nun so erweitert, dass alle Zugriffe auf Verzeichnisse, die nicht auf unserem... von mgutt	1 293	22.02.2017, 22:29 mgutt
Firewall Architekt (m/w/d) \| HYDAC INTERNATIONAL GmbH Bewerben Sie sich bis zum 13.12.2023. Jetzt bewerben!(https://api.relaxx.center/r/0e35ec19ccb14441b0b0888fdbf5be83?pid=1998303&mpid=1294699&prid=1021081&tid=30) Zur Stellenanzeige auf Mein IT Job(https://s.jobboarddeutschland.de/1g14) Ihre... von kimjob	0 34	18.10.2023, 19:10 kimjob
Junior Firewall- und Netzwerkadministrator (m/w/d) in Bremen gesucht think energy Gemeinsam gestalten wir die Energieversorgung der Zukunft! Sie möchten nachhaltig etwas bewegen? Den Ausbau der erneuerbaren Energien in einem wachsenden und zukunftsfähigen Geschäftsfeld weiter voranbringen? wpd bietet Ihnen die... von ExpressJ	0 92	25.08.2023, 09:25 ExpressJ
Firewall Administrator (m/w/d) \| HYDAC INTERNATIONAL GmbH Bewerben Sie sich bis zum 13.12.2023. Jetzt bewerben!(https://api.relaxx.center/r/3d547d2eb1fb45b4a650f2e5d8f59816?pid=1998317&mpid=1294703&prid=1021081&tid=30) Zur Stellenanzeige auf Mein IT Job(https://s.jobboarddeutschland.de/1g2s) Ihre... von kimjob	0 29	19.10.2023, 18:08 kimjob
Firewall-Regeln fehlerhaft: fw3_ipt_rule_append(): Can't find target Nach Änderungen in der Firewall eines OpenWRT Routers bekomme ich diverse Fehlermeldungen: root@GL-AR150:/etc/config# /etc/init.d/firewall reload * Clearing IPv4 filter table * Clearing IPv4 nat table * Clearing IPv4... [Computer & Spiele]von mgutt	4 727	04.05.2017, 18:36 Walter1337
www.bing.de www.bing.com durch Windows Firewall geblockt Hallo zusammen, ich tüftel schon ne weile rum komm aber nicht drauf. Meine Windows Firewall blockiert www.bing.de bzw. www.bing.com sobald ich die private Firewall ausschalte (wie im Anhang) funktioniert die Suchmaschine. Es wird aber wirklich nur die... [Computer & Spiele]von EarL_VTEC	2 547	20.02.2016, 16:48 EarL_VTEC
NRW Spam Thread *** So Jungs und Mädels.... da ich hier nie was aus NRW höre bzw ich so gut wie keinen Honda Fahrer hier in der Gegen kenne ... DER NRW SPAM THREAD ihr seid alle herzlich eingeladen ... Seite 2, 3, 4, ... 11, 12, 13 [Offtopic]von fago88	129 2.550	23.09.2011, 10:10 Woll-E
Spam von Auster per PN Hi wurde zugespamt von Auster sollte mal gesperrt werden, weiß nicht was der will ? text: uzkvrgqxmcryccjp_DLOMTEX@MSN.COM Hallo Mein Name ist Auster ich sah Ihr Profil heute (maxrev.de) und wurde Interessent in dir, ich werde auch gern wissen... [Ankündigungen]von DennisED6	5 214	07.06.2010, 19:45 HondaTec*