[BETA] [3.1][3.2] LF who was here (2.x)

In diesem Forum können Extension-Autoren ihre Extensions vorstellen, die sich noch im Entwicklungsstatus befinden. Der Einbau in Foren im produktiven Betrieb wird nicht empfohlen.
Pfiffy
Mitglied
Beiträge: 612
Registriert: 03.09.2008 20:45
Wohnort: München
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von Pfiffy » 29.10.2019 08:23

Ich hatte den gleichen Effekt am 25.9.2019. LF WWH zeigt 4656 Besucher an dem Tag an. Lt. access.log waren davon 3529 vom Googlebot.

Grücce
Pfiffy
Kein Support per PN! Ich gebe hier nur Hilfe zur Selbsthilfe. Wer ein Forum betreibt sollte sich intensiv mit allem auseinandersetzen, was dazu gehört! HTML, CSS, PHP, SQL und sogar Englisch kann man lernen!
http://www.cctreff.de
http://www.cabrio-ausfahrten.de

Benutzeravatar
LukeWCS
Mitglied
Beiträge: 388
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von LukeWCS » 29.10.2019 12:40

@Pfiffy

Bei mir war es ebenfalls erstmals im September, genauer gesagt am 20-21. Zumindest ist es mir da zuerst aufgefallen. Unmöglich zu sagen wann das begonnen hat, da man ja leider nicht unbegrenzt die Logs aufheben darf. Inzwischen ist es aber massiv, deshalb vermute ich, dass das im September lediglich so etwas wie ein Testlauf war.

@alle

Neue Erkenntnisse:

Zuerst eines vorweg: das ist kein Fehler von LFWWH, das Problem liegt tiefer. Diese Flut an "Besuchern" fällt nur eben gerade Admins auf, die LFWWH im Einsatz haben. Aber auch bei phpBB selbst kann man das sehen, wenn plötzlich "Der Besucherrekord liegt bei x Besuchern, die am xx xx. xxx xxxx, xx:xx gleichzeitig online waren." stark erhöht ist.

Ich habe bisher zwei Ereignisse näher beleuchtet, einmal vom September und jetzt Ende Oktober. Es gäbe - zumindest laut den Logs auf die ich noch Zugriff habe - noch ein drittes Ereignis Anfang Oktober.
  • Zuerstmal muss ich mich korrigieren, ich hatte die Logs nur auf die Schnelle überflogen: Die User-Agent Kennung stammt nicht von Google, sondern angeblich von Android Smartphones und zwar allesamt. Lediglich der Referer ist mit "https://www.google.com" angegeben. Darum sieht es auf den ersten Blick so aus, als würden Smartphone Benutzer über die Suchmaschine von Google kommen.
  • Bei mir waren es beim ersten "Angriff" IPs aus China, beim zweiten aus Amerika.
  • Laut Recherche gehören die IP Blöcke zu Cloud Hosting Anbietern, jeweils aus China und Amerika. Das würde den Verdacht auf "dubiose Bots" verstärken.
Was das Ziel dieser Bots ist, kann ich noch nicht sagen. Vermutlich "nur" Spam Bots. Also Bots die darauf spezialisiert sind, automatisiert Benutzerkonten anzulegen und Spam zu posten. Darauf deuten die URLs hin, die von den Bots angesprochen werden. Ich gehe momentan davon aus, das hier gezielt phpBB Foren angegriffen werden.

P.S.: auch eine Art die Mittagspause zu verbringen. :evil:
Möge das Backup mit dir sein. Immer.

Meine Erweiterungen: Monospace font for Posting Editor
Meine Erweiterungs-Forks: LF who was here, ModBreak eXtended

Pfiffy
Mitglied
Beiträge: 612
Registriert: 03.09.2008 20:45
Wohnort: München
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von Pfiffy » 30.10.2019 07:24

Ich hab jetzt mal nur die Größe der Access-Logs angesehen. Die bewegen sich alle in ungefähr der gleichen "normalen" Größe. Nur ein paar wenige reißen nach oben aus. Die großen kann ich mir ja mal genauer anschaun.


Grücce
Pfiffy
Kein Support per PN! Ich gebe hier nur Hilfe zur Selbsthilfe. Wer ein Forum betreibt sollte sich intensiv mit allem auseinandersetzen, was dazu gehört! HTML, CSS, PHP, SQL und sogar Englisch kann man lernen!
http://www.cctreff.de
http://www.cabrio-ausfahrten.de

Benutzeravatar
LukeWCS
Mitglied
Beiträge: 388
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von LukeWCS » 30.10.2019 13:05

Ich bin ebenso vorgegangen und habe mir nur die Ausreisser vorgenommen.

Ich bin mir inzwischen ziemlich sicher, das es sich um Spam Bots handelt. So wie es aussieht, wurden die letzten Tage massiv Registrierungen versucht, die allesamt schon an der ersten Gegenmassnahme gescheitert sind. Spätestens bei der zweiten würde der Bot endgültig scheitern, aber dazu kommt es gar nicht erst. ^^

Momentan nehme ich die Aktionen des Bots genauer unter die Lupe. Fest steht schon mal, das dieser viele Verschleierungstechniken einsetzt, um nicht von automatischen Abwehrmassnahmen geblockt zu werden. Aber bei so massiven Aktionen lassen sich eben bestimmte Verhaltensmuster nicht vermeiden und an genau denen lässt sich so ein Angriff dann zumindest von einem Menschen erkennen.

Deren Pech ist, das alleine die Merkmale "Smartphone" und "ausländische IP" für uns bereits Indizien auf "Besucher" sind, die uns nicht interessieren bzw. genauer gesagt, einfach nicht zu unserer Zielgruppe gehören. :wink:
Möge das Backup mit dir sein. Immer.

Meine Erweiterungen: Monospace font for Posting Editor
Meine Erweiterungs-Forks: LF who was here, ModBreak eXtended

Benutzeravatar
chris1278
Mitglied
Beiträge: 1529
Registriert: 12.11.2007 06:20
Wohnort: Euskirchen
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von chris1278 » 30.10.2019 20:06

Wäre es nicht vieleicht eine Option die Bots aus der wwh Statistik komplett abzuschalten. Als Option für Admins wäre das doch ne einfache Lösung.

Benutzeravatar
LukeWCS
Mitglied
Beiträge: 388
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von LukeWCS » 30.10.2019 20:37

Hey Chris

Klar, in LFWWH könnte man problemlos die Bots deaktivieren, alles einstellbar. Aber ich denke dir ist die Problematik noch nicht so ganz klar geworden: wenn sich dieser Bot als solcher zu erkennen geben würde, dann würde sich dein Vorschlag auch schon erledigt haben, denn dann würden dessen Zugriffe sowohl von "Wer ist online" als auch "Wer war da" ignoriert werden, wie es ja z.B. bei den ganzen "guten" Bots wie Google Bot usw. der Fall ist. Das hier ist aber ein "böser", der eine Menge macht um eben nicht als Bot erkannt zu werden. Genau das ist das Problem und darum würde dein Vorschlag gar nichts bewirken. Kurzum, hier wird mit krimineller Energie gearbeitet um möglichst alle Mechanismen zur Erkennung zu umgehen.

Das ist ein grundsätzliches Problem, LFWWH hat damit überhaupt nichts zu tun. Man sieht damit nur sehr schnell, wenn dieser Bot bei einem "gewütet" hat. ^^
Möge das Backup mit dir sein. Immer.

Meine Erweiterungen: Monospace font for Posting Editor
Meine Erweiterungs-Forks: LF who was here, ModBreak eXtended

Benutzeravatar
chris1278
Mitglied
Beiträge: 1529
Registriert: 12.11.2007 06:20
Wohnort: Euskirchen
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von chris1278 » 30.10.2019 21:16

Ok hab Verstanden.

Benutzeravatar
LukeWCS
Mitglied
Beiträge: 388
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von LukeWCS » 08.11.2019 14:53

Am Rande: das Problem mit den Fake User Bots haben z.Z. auch andere. Hier z.B. eine Seite die mit einer ganz anderen Forensoft betrieben wird, aber auch dort ist genau der IP Bereich aufgefallen, den auch ich in meinen Logs massenhaft gefunden habe:

https://www.tipo-forum.de/thread/9772-l ... d11b8cd340

Ich stelle mir jetzt eine Liste dieser IP Blöcke zusammen und sperre diese komplett per .htaccess aus. Auch wenn das vermutlich nur kurzfristig helfen wird. :roll:
Möge das Backup mit dir sein. Immer.

Meine Erweiterungen: Monospace font for Posting Editor
Meine Erweiterungs-Forks: LF who was here, ModBreak eXtended

Benutzeravatar
Wolkenbruch
Mitglied
Beiträge: 358
Registriert: 04.11.2010 16:56
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von Wolkenbruch » 08.11.2019 19:31

Das ganze hat nichts mit der Erweiterung zu tun.

Unter anderem => hier wurde es schon behandelt.
Kolumbien Freunde treffen sich im » Kolumbienforum «

Benutzeravatar
LukeWCS
Mitglied
Beiträge: 388
Registriert: 15.12.2014 10:19
Kontaktdaten:

Re: [BETA] [3.1][3.2] LF who was here (2.x)

Beitrag von LukeWCS » 12.11.2019 12:17

Wolkenbruch hat geschrieben:
08.11.2019 19:31
Das ganze hat nichts mit der Erweiterung zu tun.
Dass das nichts mit LFWWH zu tun hat, sollte spätestens hier klar geworden sein.
Unter anderem => hier wurde es schon behandelt.
Danke für den Link. Habe zwar auf .de und .com nach aktuellen Themen zu dem Problem gesucht, aber nichts gefunden. Das scheint also aktuell nicht alle zu betreffen, oder es wird nicht allgemein wahrgenommen.
Möge das Backup mit dir sein. Immer.

Meine Erweiterungen: Monospace font for Posting Editor
Meine Erweiterungs-Forks: LF who was here, ModBreak eXtended

Antworten

Zurück zu „Extensions in Entwicklung“