Gästezähler explodiert!

[Wolkenbruch]

Ich bin mit dem Forum auf einen anderen Webspace umgezogen und hatte plötzlich das gleiche Phänomen. Hunderte von Besuchern aus China.

Kurzentschlossen habe ich via GeoBlocing "die Chinesen" ausgesperrt.

Dazu habe ich in die .htaccess folgendes eingefügt: (Voraussetzung ist, das der Server GeoBlocking unterstützt.)

Code: Alles auswählen

<IfModule mod_geoip.c>
   GeoIPEnable On
      SetEnvIf GEOIP_COUNTRY_CODE (CN) BlockCountry
      Deny from env=BlockCountry
</IfModule>

Jetzt ist wieder Ruhe

[vfrblue]

Auch dieser Code für die .htaccess hält die "chinesische Übermacht" vom Forum fern (jedenfalls in unserem Forum).

Code: Alles auswählen

<Limit GET POST>
Order Allow,Deny
Allow from All
Deny from 52.80.0.0/14
Deny from 54.222.0.0/15
Deny from 220.243.0.0/16
</Limit>

[Joyce&Luna]

Habe dem ganzen jetzt auch mal einen Riegel vorgeschoben.

Hermann ich habe mal deine Variante genommen und noch paar IP dazu gefügt, die aus China kommen.

Code: Alles auswählen

<Limit GET POST>
Order Allow,Deny
Allow from All
Deny from 52.80.0.0/14
Deny from 52.82.0.0/14
Deny from 54.222.0.0/15
Deny from 220.243.0.0/16
Deny from 139.219.0.0/16
</Limit>

[Scanialady]

Eine Liste bekommt man auch hier:
https://ip-bannliste.de/aktuelle-bannliste.html

[Joyce&Luna]

Na das würde mir noch fehlen das ich so eine Liste rein setze.
Ich habe es wieder raus geschmissen, irgendwann gehen die auch wieder.
Auf meiner Style Seite, muss ich auch China zulassen, denn dort sind meine Styles auch vertreten.

[soon]

danke für eure Tipps.
Der Besucherstrom ist die letzten 2 Tage schon wieder erheblich zurückgegangen.

[canonknipser]

Ich hab die IP-Ranges als Bots eingefügt, so haben legitime Gast-Besucher aus den Ranges immerhin noch einen begrenzten Zugang.

[couchpilot]

Also ich hab jetzt erst einmal gar nix gemacht, außer das ich mal meine access logs genauer angeschaut habe ob die versuchen sich einzuloggen oder such zu registrieren.

Das ist bisher bei den ChinaIPs nicht der Fall gewesen. Aber ich hab da auch noch Probleme beim lesen der logs, vielleicht kann mir da jemand auf die Sprünge helfen.

Hier mal zwei Beispiel Zeilen die mir verdächtig vorkamen, aber nicht aus China sondern aus Indien:

185.220.101.30 - - [01/Nov/2018:03:55:07 +0100] "GET /ucp.php?mode=register HTTP/1.0" 403 216 "http://arab.adultnet.in" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.51"

185.220.101.30 - - [01/Nov/2018:03:55:14 +0100] "GET / HTTP/1.0" 301 242 "http://arab.adultnet.in" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.51"

Und dann mal meine Fragen dazu:

Zeile1)
Hinter dem "Get" kommt ja immer das was versucht wurde aufzurufen, im dem Fall der Versuch sich zu reggen, dann die 403 Ausgabe für forbidden, dann kommt noch eine dreistellige Zahl, die 216, ist das auch ne Server Meldung ? Hab ich nicht als HTTP Statuscode gefunden ?
Dann kommt noch die Webseite, hört sich für mich nach Porno an (also Versuch sich zu reggen um Spam dazulassen) und der angebliche Client.

Zeile2)
Nur 7 Sekunden später versucht der gleiche, ja was eigentlich ? Was bedeutet "GET / HTTP/1.0" oder / HTTP/1.1 eigentlich ? Da bekommt er dann einen 301 Moved permanently/Redirect für Inhalt verschoben oder nicht mehr vorhanden. Und das 242 dahinter gibst wieder nicht als Statuscode.


Und nun auch noch ein paar grundsätzliche Fragen zu der Problematik:

Robots.txt bringt nix, sperren von IP Ranges per htaccess wird sicher auch umgangen durch neue IPs, das bedeutet das man immer und ständig Arbeit hat, oder ?

Und erledigt sich die Sache nicht von selber, wenn die alles gecrawlt haben bzw. kommen sie dann nicht von selber seltener ?

Mich stören die hohen Besucherzahlen nicht, solange mein Anbieter nicht wegen den Zugriffszahlen meckert und es kein Risiko darstellt.

P.S.: Und noch ne access log Frage, gerade nioch entdeckt: Was bedeutet die Anfrage "HEAD / HTTP/1.1" 301 - "-"

[canonknipser]

Aber ich hab da auch noch Probleme beim lesen der logs, vielleicht kann mir da jemand auf die Sprünge helfen.

Was wo steht im Log, ist von deiner Server-Einstellung abhängig -> https://httpd.apache.org/docs/2.4/logs.html , hier wohl das "Combined Log"
So wie ich das bei dir sehe, sind das IP, Client, UserId, Datum, RequestLine, Status, Size, Referrer, UserAgent
Also:
Hinter der IP kommen zwei nicht verfügbare Werte (Client und UserID, gekennzeichnet durch den -)
Dein 216 bzw. 242 sind die Größe der vom Server gelieferten Daten in Byte.

Das GET /ucp.php?mode=register HTTP/1.0 ist der Request im HTTP/1.0-Protokoll auf die Registrierungsseite "Gib GET mir die Seite/ucp.php?mode=register und benutze das Protokoll HTTP/1.0. Hier gibt es einen 403
Das GET / HTTP/1.0 ist der Request im HTTP/1.0-Protokoll auf den Domain-Root / , gibt einen 301 - "moved permanently". In den gelieferten Daten steht die neue Adresse, hier vermutlich /index.php oder ein Redirect auf https://

Und erledigt sich die Sache nicht von selber, wenn die alles gecrawlt haben bzw. kommen sie dann nicht von selber seltener ?

Echte Crawler kommen mit der Zeit ggf. seltener, aber wenn sie von vorne herein mit mehreren IP-Adressen unterwegs sind, wie die hier angesprochen China-Crawler, dann kann man sie einbremsen, indem man sie über den Bot-Eintrag nur auf eine Session zwingt (Verringert die Last im phpBB, nicht aber auf dem Server!)

Robots.txt bringt nix

Gute Crawler beachten die Robots.txt, Porno-Spambots eher weniger

gerade noch entdeckt: Was bedeutet die Anfrage "HEAD / HTTP/1.1" 301 - "-"

-> https://de.wikipedia.org/wiki/Hypertext ... gemethoden

[couchpilot]

Dankeschön für die Infos und den Lesestoff. Da hab ich jetzt erst mal zu tun, aber ich denke ich hab das meiste schon verstanden.

Bedeutet "GET /ucp.php?mode=register HTTP/1.0" denn nur das die Registrierungsseite aufgerufen wurde, oder aber das versucht wurde sich zu registrieren ?

Ich nehme mal an das es nur anzeigt das die Seite aufgerufen wurde.

Denn bei mir wird doch auch die Seite GET /ucp.php?mode=login von denen aufgerufen, bedeutet das denn das die versuchen sich einzuloggen, also das Board zu hacken ?

Und wenn man die Bots anhand der Ranges einfügt, muß man dann nur bei IP-Adresse des Bot z.B. "220.243.0.0/16" einfügen und bei Agenten Übereinstimmung gar nichts ?