IP's via Toolbox protokollieren und blockieren?

Andynium · 26. Oktober 2021 07:13

Moin,

Irgendwelche Script Kiddies, die augenscheinlich WordPress für die Krone der Schöpfung halten, fluten mein aktuelles Projekt (CMS 1.12.3 + Toolbox 1.3.11) mit Anfragen auf in vorgenanntem System existierenden Dateien.

Festgestellt habe ich dies über das 404er Protokoll in der Toolbox.

Da ich mir nur ungern mein Traffic Volumen klauen lasse, möchte ich die via htaccess blockieren. Dafür brauche ich aber die IP Adresse. Und die möchte ich nun tracken.

Am einfachsten scheint mir das über die Toolbox, da dort ja eh die Zugriffe blockiert werden.

Hat das schon mal jemand gemacht?

Alternativ bin ich auch für htaccess rules aufgeschlossen, die derartige Anfragen ins Nirwana schicken. Möchte den Wartungsaufwand am Modul so gering wie möglich halten. Also ohne große Hacks.

Oder denke ich nur zu kompliziert?

Ja, ich weiß, dass ich notfalls auch die URL Weiterleitung des Moduls nutzen könnte, indem ich jeden der versuchten Zugriffe einzeln weg schicke. Den Aufwand wollte ich mir aber nicht unbedingt antun.

NaN · 26. Oktober 2021 18:00

Klingt nach einem Fall für fail2ban.
Sofern Du ausreichend Administrationsrechte auf dem Server hast.
Damit werden Deine Error-Logs/Access-Logs überwacht und bei auffallend häufigen Fehlern von derselben IP innerhalb eines bestimmten Zeitraums (z.B. 10x 404 innerhalb 3 Sekunden) wird die IP schon auf Firewall-Ebene für einen bestimmten Zeitraum gesperrt. (permanent wäre unklug, da IPs sich ja bekanntermaßen ändern können)
Damit blocke ich ziemlich zuverlässig unerwünschte Besucher.

nockenfell · 27. Oktober 2021 17:56

Wenn immer wieder Wordpress-Urls aufgerufen werden, kannst du auch die URLs blockieren. In der Regel sind diese Aufrufe ja dazu da um herauszufinden ob unter bekannten Pfaden etwas antwortet und damit eine Wordpress-Installation ermittelt werden kann.

Rufen dieses URLs dann auch noch diverse weitere Seiten auf oder siehst du nur Zugriffe auf Wordpress spezifische Pfade?

NaN · 01. November 2021 14:05

Eine andere Möglichkeit wäre die .htaccess via PHP-Script zu ergänzen.
Gibt da ein Wordpress-Plugin (All in One Security) das darauf setzt.
Da könnte man sich evtl. bestimmte .htaccess Rules abgucken.

Ich hab da außerdem mal ein honey-Pot-Script geschrieben, das alle IP-Adressen, die in die Falle tappen, via .htaccess aussperrt. Das ließe sich bestimmt auch mit ToolBox o.ä. kombinieren.
Das Problem dabei ist nur, dass die .htaccess-Datei 1.) dazu von PHP beschreibbar sein muss - was bei mir irgendwie immer wieder Bauchschmerzen verusacht - und 2.) dabei immer fetter wird. Man hat dann irgendwann eine riesige statische Blacklist. Es macht meiner Meinung nach aber keinen Sinn, eine IP mehr als ein paar Stunden zu sperren. D.h. die .htaccess müsste via CronJob o.ä. regelmäßig "geleert" werden.

Wie Nockenfell sagte, konkrete Anfragemuster unabhängig von der IP zu sperren, macht mehr Sinn. Da wird Dir nichts anderes übrig bleiben, als die Logs zu durchforsten, die Anfragen herauszufiltern und entsprechende Regeln in der .htaccess zu formulieren.

Die IP würde ich nur dann sperren, wenn sie aufgrund dieser Anfrage-Sperren innerhalb kurzer Zeit immer wieder Fehler verursacht. Aber dann am besten eben schon sperren, bevor die Anfrage überhaupt bei Apache ankommt.

Forum für CMS/made simple

#1 26. Oktober 2021 07:13

IP's via Toolbox protokollieren und blockieren?

#2 26. Oktober 2021 18:00

Re: IP's via Toolbox protokollieren und blockieren?

#3 27. Oktober 2021 17:56

Re: IP's via Toolbox protokollieren und blockieren?

#4 01. November 2021 14:05

Re: IP's via Toolbox protokollieren und blockieren?

Fußzeile des Forums