phpBB.de

Ich hatte den gleichen Effekt am 25.9.2019. LF WWH zeigt 4656 Besucher an dem Tag an. Lt. access.log waren davon 3529 vom Googlebot.

Grücce
Pfiffy

@Pfiffy

Bei mir war es ebenfalls erstmals im September, genauer gesagt am 20-21. Zumindest ist es mir da zuerst aufgefallen. Unmöglich zu sagen wann das begonnen hat, da man ja leider nicht unbegrenzt die Logs aufheben darf. Inzwischen ist es aber massiv, deshalb vermute ich, dass das im September lediglich so etwas wie ein Testlauf war.

@alle

Neue Erkenntnisse:

Zuerst eines vorweg: das ist kein Fehler von LFWWH, das Problem liegt tiefer. Diese Flut an "Besuchern" fällt nur eben gerade Admins auf, die LFWWH im Einsatz haben. Aber auch bei phpBB selbst kann man das sehen, wenn plötzlich "Der Besucherrekord liegt bei x Besuchern, die am xx xx. xxx xxxx, xx:xx gleichzeitig online waren." stark erhöht ist.

Ich habe bisher zwei Ereignisse näher beleuchtet, einmal vom September und jetzt Ende Oktober. Es gäbe - zumindest laut den Logs auf die ich noch Zugriff habe - noch ein drittes Ereignis Anfang Oktober.

• Zuerstmal muss ich mich korrigieren, ich hatte die Logs nur auf die Schnelle überflogen: Die User-Agent Kennung stammt nicht von Google, sondern angeblich von Android Smartphones und zwar allesamt. Lediglich der Referer ist mit "https://www.google.com" angegeben. Darum sieht es auf den ersten Blick so aus, als würden Smartphone Benutzer über die Suchmaschine von Google kommen.
• Bei mir waren es beim ersten "Angriff" IPs aus China, beim zweiten aus Amerika.
• Laut Recherche gehören die IP Blöcke zu Cloud Hosting Anbietern, jeweils aus China und Amerika. Das würde den Verdacht auf "dubiose Bots" verstärken.

Was das Ziel dieser Bots ist, kann ich noch nicht sagen. Vermutlich "nur" Spam Bots. Also Bots die darauf spezialisiert sind, automatisiert Benutzerkonten anzulegen und Spam zu posten. Darauf deuten die URLs hin, die von den Bots angesprochen werden. Ich gehe momentan davon aus, das hier gezielt phpBB Foren angegriffen werden.

P.S.: auch eine Art die Mittagspause zu verbringen.

Ich hab jetzt mal nur die Größe der Access-Logs angesehen. Die bewegen sich alle in ungefähr der gleichen "normalen" Größe. Nur ein paar wenige reißen nach oben aus. Die großen kann ich mir ja mal genauer anschaun.


Grücce
Pfiffy

Ich bin ebenso vorgegangen und habe mir nur die Ausreisser vorgenommen.

Ich bin mir inzwischen ziemlich sicher, das es sich um Spam Bots handelt. So wie es aussieht, wurden die letzten Tage massiv Registrierungen versucht, die allesamt schon an der ersten Gegenmassnahme gescheitert sind. Spätestens bei der zweiten würde der Bot endgültig scheitern, aber dazu kommt es gar nicht erst. ^^

Momentan nehme ich die Aktionen des Bots genauer unter die Lupe. Fest steht schon mal, das dieser viele Verschleierungstechniken einsetzt, um nicht von automatischen Abwehrmassnahmen geblockt zu werden. Aber bei so massiven Aktionen lassen sich eben bestimmte Verhaltensmuster nicht vermeiden und an genau denen lässt sich so ein Angriff dann zumindest von einem Menschen erkennen.

Deren Pech ist, das alleine die Merkmale "Smartphone" und "ausländische IP" für uns bereits Indizien auf "Besucher" sind, die uns nicht interessieren bzw. genauer gesagt, einfach nicht zu unserer Zielgruppe gehören.

Wäre es nicht vieleicht eine Option die Bots aus der wwh Statistik komplett abzuschalten. Als Option für Admins wäre das doch ne einfache Lösung.

Hey Chris

Klar, in LFWWH könnte man problemlos die Bots deaktivieren, alles einstellbar. Aber ich denke dir ist die Problematik noch nicht so ganz klar geworden: wenn sich dieser Bot als solcher zu erkennen geben würde, dann würde sich dein Vorschlag auch schon erledigt haben, denn dann würden dessen Zugriffe sowohl von "Wer ist online" als auch "Wer war da" ignoriert werden, wie es ja z.B. bei den ganzen "guten" Bots wie Google Bot usw. der Fall ist. Das hier ist aber ein "böser", der eine Menge macht um eben nicht als Bot erkannt zu werden. Genau das ist das Problem und darum würde dein Vorschlag gar nichts bewirken. Kurzum, hier wird mit krimineller Energie gearbeitet um möglichst alle Mechanismen zur Erkennung zu umgehen.

Das ist ein grundsätzliches Problem, LFWWH hat damit überhaupt nichts zu tun. Man sieht damit nur sehr schnell, wenn dieser Bot bei einem "gewütet" hat. ^^

Ok hab Verstanden.

Am Rande: das Problem mit den Fake User Bots haben z.Z. auch andere. Hier z.B. eine Seite die mit einer ganz anderen Forensoft betrieben wird, aber auch dort ist genau der IP Bereich aufgefallen, den auch ich in meinen Logs massenhaft gefunden habe:

https://www.tipo-forum.de/thread/9772-l ... d11b8cd340

Ich stelle mir jetzt eine Liste dieser IP Blöcke zusammen und sperre diese komplett per .htaccess aus. Auch wenn das vermutlich nur kurzfristig helfen wird.

Das ganze hat nichts mit der Erweiterung zu tun.

Unter anderem => hier wurde es schon behandelt.

Wolkenbruch hat geschrieben: ↑08.11.2019 19:31 Das ganze hat nichts mit der Erweiterung zu tun.

Dass das nichts mit LFWWH zu tun hat, sollte spätestens hier klar geworden sein.

Unter anderem => hier wurde es schon behandelt.

Danke für den Link. Habe zwar auf .de und .com nach aktuellen Themen zu dem Problem gesucht, aber nichts gefunden. Das scheint also aktuell nicht alle zu betreffen, oder es wird nicht allgemein wahrgenommen.