Autor | Nachricht |
---|---|
Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar | zitieren Dies ist eine simple aber sehr effiziente Firewall aus einer Kombination von PHP und .htaccess. Funktionsweise Bei jedem Aufruf unserer Seite prüft die .htaccess ob die Datei "firewall/{IP-Adresse}.txt" existiert und wenn ja dann stoppt das Script noch bevor irgendwelche belastenden Dateien geladen werden (wie z.B. die Datenbankverbindung usw.). Versehentlich gesperrte Besucher können sich jederzeit über ein reCaptcha wieder freischalten: IP sperren Wann Ihr eine IP sperrt müsst Ihr selber entscheiden. Dazu kann man versteckte Formulare nutzen, Verlinkungen, Grafiken usw. Oder man sperrt die IP bei bestimmten User-Agents oder wenn gegen die robots.txt verstoßen wird usw. Zur Sperrung einer IP nutze ich diese Funktion:
Ein Beispiel wären zu viele Login-Fehlversuche:
Oder man packt eine index.php als Honeypot mit folgendem Inhalt in das Verzeichnis "admin/" oder "phpmyadmin/", was bekanntlich gerne mal angetestet wird:
Versteckte Links, denen nur Bots folgen, könnte man so setzen:
Dazu muss man aber "firewall.php" seiner robots.txt hinzufügen, damit gute Bots diese Datei gar nicht erst aufrufen! Mein Tipp: Schaut mal in Eure Webserver-Logs und da insbesondere auf die mit dem Status 404. Ihr werdet Euch wundern wie viel Müll Euer Server da beantwortet. Zugriffssperre Der folgende Code in der .htaccess sorgt dann dafür, dass die IP die Seite nicht aufrufen kann:
Freischaltung Alle gesperrten User landen nun auf der recaptcha.html ( anpassen!):
Hier macht sich bereits die Effizienz dieser Firewall bemerkbar. Denn diese recaptcha.html läuft nicht durch den PHP-Parser und es werden natürlich auch keine Datenbankabfragen ausgeführt. Erst wenn der Besucher das Captcha löst und das Formular absendet, geht der Zugriff zur index.php, in der wir ganz oben das einfügen ( anpassen!):
Vorteile
Hier ist ein kleiner Auszug aus allen gesperrten IPs:
|
▲ | pn email |
Elite Name: Nils Geschlecht: Fahrzeug: Civic EG4*R.I.P*, EJ9*SOLD*,CRX ED9*SOLD*, ´96 EJ6*Sleep*, ´97MA8*Daylie* Anmeldedatum: 10.01.2009 Beiträge: 1652 Wohnort: Cottbus | zitieren yeha supii immer aussperren was man nicht brauch schöne idee |
▲ | pn |
Junior Name: Florian Geschlecht: Fahrzeug: Prelude BB9 Anmeldedatum: 30.04.2010 Beiträge: 96 Wohnort: 79713 & 30900 | zitieren Ich will dir da garnicht in die Technik reinreden, dazu kenn ich den Hintergrund des Projektes nicht genug. Aber da ich vermute das dies auf Linuxbasis läuft, wäre es nicht besser sowas an z.B. fail2ban zu übergeben? Dieses reagiert auf bestimmte Massenzugriffe (Regexp) in der access.log des Webservers und sperrt die entsprechende IP dann direkt für einen Port für Zeit X ,nachdem dies Anzahl Y aufgetreten ist, mittels iptables oder entsprechenden Paketfiltern. Somit würden weitere Anfragen garnicht erst vom Server bearbeitet, sondern Pakete werden direkt gedropt. Auch ergibt sich hierdurch nach der Konfiguration ein gewisser Automatismus und es entfällt ein größerer Pflegeaufwand. Somit könnte man auch direkt Spider von bestimmten Diensten aussperren, auch wenn diese die robots.txt ignorieren. Durch die Nutzung von regular expressions ist eine größere Bandbreite an Möglichkeiten gegeben, auch für z.B. andere Dienste. 1x bearbeitet |
▲ | pn |
Premium-Member Name: Woll-E Geschlecht: Fahrzeug: EH6 Anmeldedatum: 03.05.2009 Beiträge: 21228 Wohnort: Köln | zitieren Die Firewall, die du meinst, ist dafür ungeeignet, da du damit den Content der Abfragen nicht richtig nachvollziehen kannst. Die Lösung von Marc soll verhindern, dass sich Spambots hier anmelden und einfach rumspamen können wie sie wollen. Die kannst du auch nicht mit fail2ban (wie der Name schon sagt) bannen, da die keinen fail produzieren. |
▲ | pn |
Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar | zitieren Klar ist es von der Performance her besser, wenn man mit iptables blockt. Noch besser wäre eine Hardware-Firewall. Von solchen Lösungen halte ich nichts, weil man da kein Captcha ausgeben kann, außer man programmiert eine Schnittstelle zwischen Webserver und Firewall. Da so eine Lösung aber sehr speziell ist und Umstellungen auf neue Server kompliziert macht, lasse ich lieber gleich die Finger davon. Das gibt immer nur Stress und der Vorteil ist marginal. Und ohne Captcha ist doof, weil es immer sein kann, dass ein Angreifer eine öffentliche IP genutzt hat (z.B. Trojaner-verseuchter Rechner). Es wartet kein Besucher 24 Stunden bis eine automatische Bereinigung erfolgt. Verfasst am: 13.01.2012, 07:33 zitieren P.S. die Login-Seite ist für Crawler verboten: http://www.maxrev.de/robots.txt Entsprechend sind aktuell nur böse Bots betroffen. Allerdings werde ich noch für böse Crawler, die keine Formulare absenden, sondern nur Links folgen einen Link auf die Startseite packen, dessen Aufruf auch sofort zur Sperre führt Verfasst am: 13.01.2012, 07:34 zitieren Was ich übrigens auch interessant finde, ist dass die Bots sehr häufig den User Agent vom Internet Explorer 6 senden. Ich denke mal die Statistiken, die man häufig findet, wo der IE6 noch so und so viel Prozent der Besucher ausmacht, kann man wohl vergessen. Alles nur Bots ^^ |
▲ | pn email |
Junior Name: Florian Geschlecht: Fahrzeug: Prelude BB9 Anmeldedatum: 30.04.2010 Beiträge: 96 Wohnort: 79713 & 30900 | zitieren Oh ja, aber die Auswertungen der access Logs sind ohnehin nur Schätzwerte. Aber stimmt schon, rein Spammer sind damit kaum zu bekommen, es sei denn diese verwenden immer andere Aufrufe als ein regulärer Zugriff. Die Sperrfrist muss ja nicht auf 24h liegen, 20 oder sogar 10 Minuten können da schon Wunder vollbringen. Sollte aber auch nur als Anstoß dienen, falls das evtl. noch garnicht in Betracht gezogen war. |
▲ | pn |
Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar | zitieren Auf der Startseite ist jetzt ein Link, der einen auf eine Seite führt, die laut robots.txt verboten ist. Wird der Link geöffnet, so löst das automatisch eine Sperre der IP aus. Damit sind nun auch böse Crawler abgedeckt, die sich nicht an die robots.txt halten. Verfasst am: 15.02.2012, 17:13 zitieren Die Firewall blockiert nun alle Zugriffe, die in Ihrem User Agent "HTTrack" angegeben haben. HTTrack ist eine Software, die Privatpersonen ermöglicht unsere Website inkl. aller Bilder herunterzuladen: http://de.wikipedia.org/wiki/HTTrack_Website_Copier Da unsere Website aber aus mehreren Millionen Dateien besteht, würde der Kopiervorgang vermutlich eh nie enden und wir möchten auch gar nicht, dass jemand unsere Seite kopiert, geschweige denn unsere Server mit solchen Anfragen belastet. |
▲ | pn email |
Gast | zitieren Mach mit!Wenn Dir die Beiträge zum Thread "PHP Firewall blockt nun IPs von Spam-Bots" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr... |
▲ | |
Ähnliche Beiträge | Re: √ | Letzter Beitrag | |
---|---|---|---|
Auf der Suche nach einem Programmierer, der Bots schreiben kann! Gute Bezahlung! Ich bin auf der Suche nach jemanden, der mir Bots schreiben kann. Für mich ist das wirklich eine sehr wichtige Aufgabe und total ernst gemeint. Bei Interesse bitte melden, wie oben gesagt, ist die Bezahlung super!... von blakcbeard | 0 192 | 27.05.2018, 17:57 blakcbeard | |
Windows Firewall Den kannte ich noch gar nicht.... [Offtopic]von mgutt | 4 97 | 11.09.2015, 09:03 mgutt | |
robots.txt für Honeypot-Firewall nutzen In unserem Forum nutzen wir eine PHP Firewall, die hier näher beschrieben wird:
http://www.maxrev.de/php-firewall-blockt-nun-ips-von-spam-bots-t234957.htm
Diese haben wir nun so erweitert, dass alle Zugriffe auf Verzeichnisse, die nicht auf unserem... von mgutt | 1 293 | 22.02.2017, 22:29 mgutt | |
Firewall Architekt (m/w/d) | HYDAC INTERNATIONAL GmbH Bewerben Sie sich bis zum 13.12.2023.
Jetzt bewerben!(https://api.relaxx.center/r/0e35ec19ccb14441b0b0888fdbf5be83?pid=1998303&mpid=1294699&prid=1021081&tid=30)
Zur Stellenanzeige auf Mein IT Job(https://s.jobboarddeutschland.de/1g14)
Ihre... von kimjob | 0 34 | 18.10.2023, 19:10 kimjob | |
Junior Firewall- und Netzwerkadministrator (m/w/d) in Bremen gesucht think energy
Gemeinsam gestalten wir die Energieversorgung der Zukunft!
Sie möchten nachhaltig etwas bewegen? Den Ausbau der erneuerbaren Energien in einem wachsenden und zukunftsfähigen Geschäftsfeld weiter voranbringen? wpd bietet Ihnen die... von ExpressJ | 0 92 | 25.08.2023, 09:25 ExpressJ | |
Firewall Administrator (m/w/d) | HYDAC INTERNATIONAL GmbH Bewerben Sie sich bis zum 13.12.2023.
Jetzt bewerben!(https://api.relaxx.center/r/3d547d2eb1fb45b4a650f2e5d8f59816?pid=1998317&mpid=1294703&prid=1021081&tid=30)
Zur Stellenanzeige auf Mein IT Job(https://s.jobboarddeutschland.de/1g2s)
Ihre... von kimjob | 0 29 | 19.10.2023, 18:08 kimjob | |
Firewall-Regeln fehlerhaft: fw3_ipt_rule_append(): Can't find target Nach Änderungen in der Firewall eines OpenWRT Routers bekomme ich diverse Fehlermeldungen:
root@GL-AR150:/etc/config# /etc/init.d/firewall reload
* Clearing IPv4 filter table
* Clearing IPv4 nat table
* Clearing IPv4... [Computer & Spiele]von mgutt | 4 727 | 04.05.2017, 18:36 Walter1337 | |
www.bing.de www.bing.com durch Windows Firewall geblockt Hallo zusammen,
ich tüftel schon ne weile rum komm aber nicht drauf.
Meine Windows Firewall blockiert www.bing.de bzw. www.bing.com sobald ich die private Firewall ausschalte (wie im Anhang) funktioniert die Suchmaschine.
Es wird aber wirklich nur die... [Computer & Spiele]von EarL_VTEC | 2 547 | 20.02.2016, 16:48 EarL_VTEC | |
NRW Spam Thread *** So Jungs und Mädels....
da ich hier nie was aus NRW höre bzw ich so gut wie keinen Honda Fahrer hier in der Gegen kenne ...
DER NRW SPAM THREAD
ihr seid alle herzlich eingeladen ... Seite 2, 3, 4, ... 11, 12, 13 [Offtopic]von fago88 | 129 2.550 | 23.09.2011, 10:10 Woll-E | |
Spam von Auster per PN Hi
wurde zugespamt von Auster
sollte mal gesperrt werden, weiß nicht was der will ?
text:
uzkvrgqxmcryccjp_DLOMTEX@MSN.COM
Hallo
Mein Name ist Auster ich sah Ihr Profil heute (maxrev.de) und wurde
Interessent in dir, ich werde auch gern wissen... [Ankündigungen]von DennisED6 | 5 214 | 07.06.2010, 19:45 HondaTec* |