selfhtml.de - Alles für den Webmaster!

 

Empfehlung:

wix.com

Kostenlose Homepage

Besuchen Sie auch:

Jobs:

Seltsame Referer in der Zugriffstatistik

Autor: Matthias
Datum: 12.03.2013 23:32:39

Hallo aus dem Wintersprotgebiet an der Ostsee!
da man hier ohne Schneeschuhe nicht vor die Tür kann, habe ich endlich mal begonnen, die Zugriffsdaten, die ich selbst in einer MySQL-Datenbank sammle, statistisch aufzubrezeln.
Da kommen wirklich interessante Dinge heraus, die in den üblichen Auswertungen (Analytics, Webmastertools etc) nicht augenscheinlich werden.

Darunter ein Suchbot, der offenbar nichts gutes im Schilde führt, da er nichts über sich verrät.

Interessant fand ich in den HTTP Referrern folgende Ausdrücke

wie
/alle/all-file.php?Satznr=762"+and+2=2--+a&Sortier...

worin
+and+2=2--+a&

der Teil ist, der nicht von mir erdacht war. Das gibt es in mehrere wirren Abwandlungen, immer an derselben Datei. Die Verursacher IP kommt aus Hongkong und es sind etwa 50 Versuche verzeichnet. Ich tippe auf eine versuchte SQL-Injektion.

Meine Frage: Habt Ihr Erfahrungen mit ähnlichen Angriffen? Wie häufig ist sowas bei Euch?

Wie geht Ihr damit um? Aussperren?

Ich habe mittlerweile in einer anderen Tabelle fast 780 Forenspammer vorrätig. Einer davon hat mittlerweile über 1000 Foreneinträge versucht, ist aber an meinem Honigtopf kleben geblieben.

Lohnt es, hier die fleissigsten Spammer anhand der IP wenigstens zweitweise auszusperren?

Ich weiss, das ist mehr ein Plauderthema und nur teilweise PHP, aber ich glaube hier liegts am besten.


Grüße


Matthias



Re: Seltsame Referer in der Zugriffstatistik

Autor: T.Jung
Datum: 13.03.2013 13:46:19

> +and+2=2--+a&
> (...)
> Ich tippe auf eine versuchte
> SQL-Injektion.

Ja, das sieht danach aus.
Wobei ich noch rätsle, was genau damit bewirkt werden soll... wenn dort "OR 2=2" stehen würde, wäre es ja einfach, denn dann würde der Query (so er denn ungeprüft zur DB durchgeschleust würde) ALLE Datensätze der DB selektieren. So aber bewirkt er eigentlich nichts...
Keine Ahnung, was das soll.


> Wie häufig ist sowas bei Euch?

Die Häufigkeit ich noch nie ermittelt.


> Wie geht Ihr damit um? Aussperren?

Wenn ein Script eine versuchte SQL- oder Mailheader-Injection identifiziert, breche ich erstmal rigoros ab, z.B. mit einem
die("Illegal input");

Keine Fehlermeldung vom Typ »Es ist ein Fehler aufgetreten, bitte versuchen sie es nochmal« -- kein Versuch, das zu »reparieren«. (Ein Reparaturversuch wäre etwa, bei einer Mailheader-Injection nur die Zeilenumbrüche rauszuwerfen.)
Ein Angreifer hat es nicht verdient, dass man sich diese Mühe macht.

Außerdem: Ich hatte das mal vor Jahren in einem Forum -- wenn ein Spam-Versuch identifiziert wurde, wurde das Eingabeformular noch einmal geöffnet mit der Bitte, den Text abzuändern. Hintergedanke war, dass es ja auch ein regulärer Eintrag sein könnte, der fälschlicherweise als Spam identifiziert wurde. Die Folge war aber, dass der Traffic der Site plötzlich in die Höhe geschossen ist. Und zwar allein deshalb, weil die Spambots ja wieder im Eingabeformular gelandet sind und ihrem Schwampf noch einmal abgeschickt haben... und wieder... und wieder... und wieder...

Seitdem kenne ich keine Gnade mehr. ;-)


> Ich habe mittlerweile in einer anderen Tabelle
> fast 780 Forenspammer vorrätig. Einer davon hat
> mittlerweile über 1000 Foreneinträge versucht,
> ist aber an meinem Honigtopf kleben geblieben.

Ja, sowas kenne ich auch.
Immerhin sorgt das für etwas Genugtuung, so nach dem Motto: »Hähä, ich bin schlauer als Ihr!« ;-)


> Lohnt es, hier die fleissigsten Spammer anhand
> der IP wenigstens zweitweise auszusperren?

Kann man als Zusatzmaßnahme machen.
Bedenke aber,
a) dass das natürlich nicht alle abhält, die intelligenteren Angreifer arbeiten ja mit wechselnden IP-Adressen; und
b) dass das auch schon mal dazu führen kann, dass ein regulärer Besucher ausgesperrt wird. Naja, das wird wohl eher selten der Fall sein, dass ein »guter« Besucher kurz nach einem »bösen« mit der gleichen IP-Adresse daherkommt -- sofern es sich bei der Site, um die es Dir geht, nicht gerade um Google oder Facebook handelt. *g*

Gruß,
Tobias



Re: Seltsame Referer in der Zugriffstatistik

Autor: Matthias
Datum: 13.03.2013 17:24:26

> Wobei ich noch rätsle, was genau damit bewirkt
> werden soll... wenn dort "OR 2=2" stehen würde,
> wäre es ja einfach, denn dann würde der Query (so
> er denn ungeprüft zur DB durchgeschleust würde)
> ALLE Datensätze der DB selektieren. So aber
> bewirkt er eigentlich nichts...
> Keine Ahnung, was das soll.

Vielleicht war es ja einfach nur ein Anfänger. Die Konstrukte waren schon sehr bunt gemixt, die er da versucht hat. Da MySQL nicht mein Heimspiel ist, fehlt mir aber auch der Blick dafür, was der Zweck sein könnte.



> Wenn ein Script eine versuchte SQL- oder
> Mailheader-Injection identifiziert, breche ich
> erstmal rigoros ab, z.B. mit einem
> die("Illegal input");
> Keine Fehlermeldung vom Typ »Es ist ein Fehler
> aufgetreten, bitte versuchen sie es nochmal« --
> kein Versuch, das zu »reparieren«. (Ein
> Reparaturversuch wäre etwa, bei einer
> Mailheader-Injection nur die Zeilenumbrüche
> rauszuwerfen.)
> Ein Angreifer hat es nicht verdient, dass man
> sich diese Mühe macht.

Ja zweifellos hat er die Mühen nicht verdient. Meine Überlegungen in dieser Hinsicht sind eher psychologischer Natür. Also die Frage, ob meine Reaktion den Angrefer herausfordert und weiter anstachelt oder nicht.

Bezüglich der Datenbank hab ich da keine Not mehr, denn die
ist von aussen nun nicht mehr erreichbar, da keine übermittelten Daten mehr in einem Abfragestring landen, kann man auch nix mehr einschmuggeln.


> Außerdem: Ich hatte das mal vor Jahren in einem
> Forum -- wenn ein Spam-Versuch identifiziert
> wurde, wurde das Eingabeformular noch einmal
> geöffnet mit der Bitte, den Text abzuändern.
> Hintergedanke war, dass es ja auch ein regulärer
> Eintrag sein könnte, der fälschlicherweise als
> Spam identifiziert wurde. Die Folge war aber,
> dass der Traffic der Site plötzlich in die Höhe
> geschossen ist. Und zwar allein deshalb, weil die
> Spambots ja wieder im Eingabeformular gelandet
> sind und ihrem Schwampf noch einmal abgeschickt
> haben... und wieder... und wieder... und
> wieder...

Ja so ähnlich habe ich es mir bei meinem Formular überlegt, das ich vor Spammern schützen wollte. Ich habe an ÄtschiBätsch-Seiten gedacht, eine Umleitung ins Irgendwo und was weiss ich noch.

Entschieden habe ich mich dafür, die Originalseite so wie sie auch Nichtspammer bekommen auszuliefern. Da die Spambots sich ja eh nicht interessieren für das Ergebnis ihrer Eintragung, wär alles andere vergebener Aufwand. Nur wird im Hintergrund kein Datenbankeintrag im Meinungsforum vorgenommen und auch keine Benachrichtigungsmail generiert. Nur ein Eintrag in der Spammer-Tabelle.



> Ja, sowas kenne ich auch.
> Immerhin sorgt das für etwas Genugtuung, so nach
> dem Motto: »Hähä, ich bin schlauer als Ihr!« ;-)

Jain, mein Forenspam besteht zu 99,9% aus völlig wirren Daten. Weder Domainangaben sind existent, noch findet man irgendwelche sinnhaltigen Worte, die es wert wären, im Forum platziert zu werden.
Ich habe im Netz keinerlei Erklärungen dafür finden können, was der Sinn solcher Einträge sein könnte. Das Siegergefühl über derart dämliche Spambots ist also sehr beschränkt. Aber ein bisschen Genugtuung ist dabei ja.

Ich hab übrigens nur zwei unbestätigte Erklärungen für diese Spams. Die eine wäre die Vermutung, dass diese kryptischen Buchstabenbomben irgendwann im Erfolgsfall von Suchmaschinen gefunden werden können und dann kommt die eigentliche Eintragungswelle oder es sind irgendwelche Überreste von misslungenen Konvertierungen aus exotischen Sprachräumen ins Abendländische.



> > Lohnt es, hier die fleissigsten Spammer
> anhand
> > der IP wenigstens zweitweise auszusperren?
>
> Kann man als Zusatzmaßnahme machen.
> Bedenke aber,
> a) dass das natürlich nicht alle abhält, die
> intelligenteren Angreifer arbeiten ja mit
> wechselnden IP-Adressen; und
> b) dass das auch schon mal dazu führen kann, dass
> ein regulärer Besucher ausgesperrt wird. Naja,
> das wird wohl eher selten der Fall sein, dass ein
> »guter« Besucher kurz nach einem »bösen« mit der
> gleichen IP-Adresse daherkommt -- sofern es sich
> bei der Site, um die es Dir geht, nicht gerade um
> Google oder Facebook handelt. *g*


Ja ich habe mittlerweile herausgefunden, dass die IPs der fleissigsten Spammer in den Suchmaschinen ohnehin auf Antispam-Webseiten zeigen, auf denen man umfangreiche Statistiken zu der IP findet, unter anderem auch, wie lange sie schon mit Spam auffällig wurde. Da kann man vermutlich gute Orientierungen erhalten, wie lange man die aussperrt.

Wie auch immer. Ich bastel mal weiter an meinem kleinen Matthias-Analytics. Das bringt interessante Erkenntnisse und übt auch Datenbankprogramming. Zumal ich nicht wirklich was zu verlieren habe als die Herrschaft über mein Hostingpaket.

Übrigens ist das neueste Rätsel in meiner Besucherdatenbank eine Suchmaschine, die ich bisher nicht kannte, die aber allein heute meine Website 3 mal vollständig aufgesucht hat. Also bei 780 Dateien, etwa 2100 Seitenaufrufe generiert hat. Mal sehen, wie das weitergeht.

Danke für Deine Überlegungen zum Thema!

Grüße

Matthias