selfhtml.de - Alles für den Webmaster!

 

Empfehlung:

wix.com

Kostenlose Homepage

Besuchen Sie auch:

Jobs:

Re: Seltsame Referer in der Zugriffstatistik

Autor: T.Jung [Beiträge: 3683]
Datum: 13.03.2013 13:46:19

> +and+2=2--+a&
> (...)
> Ich tippe auf eine versuchte
> SQL-Injektion.

Ja, das sieht danach aus.
Wobei ich noch rätsle, was genau damit bewirkt werden soll... wenn dort "OR 2=2" stehen würde, wäre es ja einfach, denn dann würde der Query (so er denn ungeprüft zur DB durchgeschleust würde) ALLE Datensätze der DB selektieren. So aber bewirkt er eigentlich nichts...
Keine Ahnung, was das soll.


> Wie häufig ist sowas bei Euch?

Die Häufigkeit ich noch nie ermittelt.


> Wie geht Ihr damit um? Aussperren?

Wenn ein Script eine versuchte SQL- oder Mailheader-Injection identifiziert, breche ich erstmal rigoros ab, z.B. mit einem
die("Illegal input");

Keine Fehlermeldung vom Typ »Es ist ein Fehler aufgetreten, bitte versuchen sie es nochmal« -- kein Versuch, das zu »reparieren«. (Ein Reparaturversuch wäre etwa, bei einer Mailheader-Injection nur die Zeilenumbrüche rauszuwerfen.)
Ein Angreifer hat es nicht verdient, dass man sich diese Mühe macht.

Außerdem: Ich hatte das mal vor Jahren in einem Forum -- wenn ein Spam-Versuch identifiziert wurde, wurde das Eingabeformular noch einmal geöffnet mit der Bitte, den Text abzuändern. Hintergedanke war, dass es ja auch ein regulärer Eintrag sein könnte, der fälschlicherweise als Spam identifiziert wurde. Die Folge war aber, dass der Traffic der Site plötzlich in die Höhe geschossen ist. Und zwar allein deshalb, weil die Spambots ja wieder im Eingabeformular gelandet sind und ihrem Schwampf noch einmal abgeschickt haben... und wieder... und wieder... und wieder...

Seitdem kenne ich keine Gnade mehr. ;-)


> Ich habe mittlerweile in einer anderen Tabelle
> fast 780 Forenspammer vorrätig. Einer davon hat
> mittlerweile über 1000 Foreneinträge versucht,
> ist aber an meinem Honigtopf kleben geblieben.

Ja, sowas kenne ich auch.
Immerhin sorgt das für etwas Genugtuung, so nach dem Motto: »Hähä, ich bin schlauer als Ihr!« ;-)


> Lohnt es, hier die fleissigsten Spammer anhand
> der IP wenigstens zweitweise auszusperren?

Kann man als Zusatzmaßnahme machen.
Bedenke aber,
a) dass das natürlich nicht alle abhält, die intelligenteren Angreifer arbeiten ja mit wechselnden IP-Adressen; und
b) dass das auch schon mal dazu führen kann, dass ein regulärer Besucher ausgesperrt wird. Naja, das wird wohl eher selten der Fall sein, dass ein »guter« Besucher kurz nach einem »bösen« mit der gleichen IP-Adresse daherkommt -- sofern es sich bei der Site, um die es Dir geht, nicht gerade um Google oder Facebook handelt. *g*

Gruß,
Tobias


Beiträge

Antwort schreiben

Username: Usernamen registrieren
Passwort: Passwort vergessen?
Thema:
  Bitte benutze für deinen Beitrag die Groß-/Kleinschreibung!
Beitrag:
Link (URL):
Titel für Link:
Grafik (URL):
  Die Breite der Grafik darf 468 Pixel nicht überschreiten.
 
E-Mail-Benachrichtigung:



Zum Abschicken deines Beitrags bitte die Schaltfläche "Abschicken" nur einmal anklicken und warten. Der Server braucht manchmal einige Zeit, bis er den Beitrag in die Datenbank übernommen hat. Wenn du die Schaltfläche mehrmals drückst, erscheint dein Beitrag auch mehrmals im Forum.

Bewerten Sie Ihren Webhosting-Provider

Webhosting Provider bewerten und Apple iPad gewinnenWie zufrieden sind Sie mit Ihrem Webhosting-Provider? Gibt es Probleme beim Service, mit der Performance oder der Abrechnung?

Teilen Sie jetzt Ihre Erfahrungen mit anderen Webmastern und schreiben Sie eine Provider-Bewertung. Mit etwas Glück können Sie ein Apple iPad gewinnen!

Weitere Informationen und Teilnahme...