Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 26. Oktober 2021 07:13

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.003
Webseite

IP's via Toolbox protokollieren und blockieren?

Moin,

Irgendwelche Script Kiddies, die augenscheinlich WordPress für die Krone der Schöpfung halten, fluten mein aktuelles Projekt (CMS 1.12.3 + Toolbox 1.3.11) mit Anfragen auf in vorgenanntem System existierenden Dateien.

Festgestellt habe ich dies über das 404er Protokoll in der Toolbox.

Da ich mir nur ungern mein Traffic Volumen klauen lasse, möchte ich die via htaccess blockieren. Dafür brauche ich aber die IP Adresse. Und die möchte ich nun tracken.

Am einfachsten scheint mir das über die Toolbox, da dort ja eh die Zugriffe blockiert werden.

Hat das schon mal jemand gemacht?

Alternativ bin ich auch für htaccess rules aufgeschlossen, die derartige Anfragen ins Nirwana schicken. Möchte den Wartungsaufwand am Modul so gering wie möglich halten. Also ohne große Hacks.

Oder denke ich nur zu kompliziert?

Ja, ich weiß, dass ich notfalls auch die URL Weiterleitung des Moduls nutzen könnte, indem ich jeden der versuchten Zugriffe einzeln weg schicke. Den Aufwand wollte ich mir aber nicht unbedingt antun.

Offline

#2 26. Oktober 2021 18:00

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.401

Re: IP's via Toolbox protokollieren und blockieren?

Klingt nach einem Fall für fail2ban.
Sofern Du ausreichend Administrationsrechte auf dem Server hast.
Damit werden Deine Error-Logs/Access-Logs überwacht und bei auffallend häufigen Fehlern von derselben IP innerhalb eines bestimmten Zeitraums (z.B. 10x 404 innerhalb 3 Sekunden) wird die IP schon auf Firewall-Ebene für einen bestimmten Zeitraum gesperrt. (permanent wäre unklug, da IPs sich ja bekanntermaßen ändern können)
Damit blocke ich ziemlich zuverlässig unerwünschte Besucher.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12.2 unter PHP 7:
cmsms-1.12.2-php7.2-diff.tar.gz (nur die geänderten Dateien)
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)

Offline

#3 27. Oktober 2021 17:56

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.913
Webseite

Re: IP's via Toolbox protokollieren und blockieren?

Wenn immer wieder Wordpress-Urls aufgerufen werden, kannst du auch die URLs blockieren. In der Regel sind diese Aufrufe ja dazu da um herauszufinden ob unter bekannten Pfaden etwas antwortet und damit eine Wordpress-Installation ermittelt werden kann.

Rufen dieses URLs dann auch noch diverse weitere Seiten auf oder siehst du nur Zugriffe auf Wordpress spezifische Pfade?


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#4 01. November 2021 14:05

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.401

Re: IP's via Toolbox protokollieren und blockieren?

Eine andere Möglichkeit wäre die .htaccess via PHP-Script zu ergänzen.
Gibt da ein Wordpress-Plugin (All in One Security) das darauf setzt.
Da könnte man sich evtl. bestimmte .htaccess Rules abgucken.

Ich hab da außerdem mal ein honey-Pot-Script geschrieben, das alle IP-Adressen, die in die Falle tappen, via .htaccess aussperrt. Das ließe sich bestimmt auch mit ToolBox o.ä. kombinieren.
Das Problem dabei ist nur, dass die .htaccess-Datei 1.) dazu von PHP beschreibbar sein muss - was bei mir irgendwie immer wieder Bauchschmerzen verusacht - und 2.) dabei immer fetter wird. Man hat dann irgendwann eine riesige statische Blacklist. Es macht meiner Meinung nach aber keinen Sinn, eine IP mehr als ein paar Stunden zu sperren. D.h. die .htaccess müsste via CronJob o.ä. regelmäßig "geleert" werden.

Wie Nockenfell sagte, konkrete Anfragemuster unabhängig von der IP zu sperren, macht mehr Sinn. Da wird Dir nichts anderes übrig bleiben, als die Logs zu durchforsten, die Anfragen herauszufiltern und entsprechende Regeln in der .htaccess zu formulieren.

Die IP würde ich nur dann sperren, wenn sie aufgrund dieser Anfrage-Sperren innerhalb kurzer Zeit immer wieder Fehler verursacht. Aber dann am besten eben schon sperren, bevor die Anfrage überhaupt bei Apache ankommt.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12.2 unter PHP 7:
cmsms-1.12.2-php7.2-diff.tar.gz (nur die geänderten Dateien)
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)

Offline