[3.3] Ungewünschte Besucher-Rekorde

[Pfiffy]

Auch mein Forum gehörte zu denen, die mit Zugriffen überrannt wurden.

Hier mal meine Lösung, die funktioniert hervorragend für mein Forum:

- Per EXT "Filter by country" habe ich alle Länder außerhalb von Europa und den USA gesperrt. Funktioniert bei den Adressaten meines Forumthemas perfekt. USA ist wegen Goggle und bing offen.

- Per EXT "Stop Forum Spam" werden automatisierte Registrierungen geblockt.

- Per .htaccess werden eine größere Anzahl an Bots geblockt, darunter Amazon, Chat GPT, Meta, diverse AI-Bots usw. Somit kommen die gar nicht bis zum Forum durch und können gar keine DB-Last erzeugen.

Mit diesen drei Maßnahmen (und den Üblichen Berechtigungen innerhalb des Forums) ist Ruhe, die Serverlast und die DB-Last passen.

Grücce
Pfiffy

[Mike-on-Tour]

Das hätte bei mir nicht funktioniert, weil der Bot (alibaba) mit einer IP aus Kalifornien kam.

[cpg]

Moin zusammen,

je länger ich mich mit dem Thema bsch#äftige, desto mehr hegt sich bei mir der Verdacht, dass es den Störern/Spammern nicht nur um die Inhalte geht, sondern eher auch darum, wie sie die Hürden überwinden können, die wir ihnen aufstellen.
In früheren Zeiten war es relativ einfach und mit ein kleinen Zeilen "unter der Haube" oder Einstellungen im ACP-Bereich zu erledigen, aber inzwischen steht eine geballte Macht entgegen, die auch über einen riesigen Vorrat an IP-Adressen der verschiedensten Länder verfügt.
"EINE Lösung - und dann ist Ruhe" wird es wohl kaum geben, sondern tägliches Beobachten und immer wieder reagieren und Maßnahmen anpassen.

Gruß
cpg

[LukeWCS]

- Per EXT "Filter by country" habe ich alle Länder außerhalb von Europa und den USA gesperrt.

Leider muss man inzwischen so vorgehen, ja. Wobei ich per .htaccess vorgehe, von Ext-Lösungen halte ich auf dem Gebiet nicht viel, denn der Traffic kommt ja so trotzdem im Forum an und genau das will man ja verhindern, weil dann nach wie vor Resourcen belastet werden. Den ganzen Mist muss man schon an der "Haustür" abweisen.

Ich habe vor 1 Woche China und Singapur komplett sperren müssen, um diese massive Flut zu stoppen. Das ist natürlich nicht der Knaller, weil man so auch Kollateralschäden verursacht. Aber das fällt momentan erstmal unter Selbstverteidigung.

Das hätte bei mir nicht funktioniert, weil der Bot (alibaba) mit einer IP aus Kalifornien kam.

Alibaba Cloud hat IP Bereiche sowohl in China als auch USA. Das heisst man muss gezielt die IP Bereiche von Alibaba als ganzes sperren. Hat da jemand eine komplette Liste? Falls das überhaupt je komplett sein kann.

je länger ich mich mit dem Thema bsch#äftige, desto mehr hegt sich bei mir der Verdacht, dass es den Störern/Spammern nicht nur um die Inhalte geht, sondern eher auch darum, wie sie die Hürden überwinden können, die wir ihnen aufstellen.

Das ist auch mein Eindruck. Alleine das mit tausenden IPs und ebenso tausenden falschen Uer Agent Strings operiert wird, soll ja schon mal einen Teil der Spam Abwehr umgehen, weil so zig tausende reale "User" vorgetäuscht werden.

Und vor 2 Tagen hatte ich auch einen Versuch im Log, Schwachstellen bei mir zu finden, indem gezielt auf bestimmte Dateinamen gescannt wurde. Das heisst da wurde versucht Standard Web Tools zu finden, um dann sehr wahrscheinlich in einem zweiten Schritt zu versuchen, Standard Logins zu probieren. Wenn Anwender faul sind und solche Standard Logins nicht ändern, ist das natürlich ein gefundenes Fressen für die Kriminellen. Unter anderem wollte man auch wissen, ob Web Datei Manager wie der Tiny Filemanager vorhanden sind. Gescannt wurden bei mir auch direkt verschiedene Login Möglichkeiten, z.B. von WordPress. Der Scan kam aus Holland. Aber das hat nicht viel zu sagen, weil die Ganoven mit Proxys und Zombie-Netzen arbeiten. Kann also gut sein, das der Scan von einem Zombie-PC eines unbescholtenen Bürgers kam.

"EINE Lösung - und dann ist Ruhe" wird es wohl kaum geben, sondern tägliches Beobachten und immer wieder reagieren und Maßnahmen anpassen.

Leider ja. So arbeite ich ja schon seit mein Forum besteht, aber da gings lange Zeit nur um Spam Bots und die konnte man gut in den Griff bekommen. Das hier ist aber eine ganz andere Qualität.

[Mike-on-Tour]

Das heisst man muss gezielt die IP Bereiche von Alibaba als ganzes sperren. Hat da jemand eine komplette Liste? Falls das überhaupt je komplett sein kann.

Eine komplette Liste habe ich auch nicht, aber alle Zugriffe auf meine Seite kamen von diesem IP-Bereich: 47.246.164

Vielleicht können wir ja hier die IP-Bereiche, sammeln, von denen wir bei Alibaba bisher wissen.

[Scanialady]

Eine Liste gibt es hier: https://ip-bannliste.de/aktuelle-bannli ... dater.html

[Kirk]

Neue Technologien ermöglichen "Gaunern" neue Möglichkeiten.
Ein Forum was ich ab und zu noch betreue hatte ebenfalls dieses Problem, der Forenbetreiber hatte darauf hin jenes in die .htaccess eingebaut. Vorher waren es ca. 5000-6000 danach nur noch ca. 1200 Gäste. Wie lange dies funktioniert wird sich zeigen.

[Talk19zehn]

Hello, schwierig: Serverkonfiguationen im ROOT sind unterschiedlch! Bitte beim Host anfragen (u. U. wichtig!).

Meine in der .htaccess (Stand 19.10.2025) seit jenem Tag wie folgt:
unverbindlich - - TB

Code: Alles auswählen

Order Deny,Allow
Deny from env=bad_bot
# alibaba
Deny from 47.74.0.0/15
Deny from 47.76.0.0/14
Deny from 47.80.0.0/13
Deny from 47.235.0.0/16
Deny from 47.236.0.0/14
Deny from 47.240.0.0/14
Deny from 47.244.0.0/15
Deny from 47.246.0.0/16
Deny from 47.250.0.0/15
Deny from 47.252.0.0/15
Deny from 47.254.0.0/16
Deny from 47.88.0.0/14
Deny from 47.56.0.0/15
Deny from 155.102.0.0/16
Deny from 163.181.0.0/16
Deny from 47.52.0.0/16
Deny from 147.139.0.0/16
Deny from 139.95.0.0/16
Deny from 72.254.0.0/16
Deny from 61.200.84.0/24
Deny from 47.89.91.0/24
Deny from 47.89.112.0/24
Deny from 111.108.151.176/28

Grüße

[Pfiffy]

- Per EXT "Filter by country" habe ich alle Länder außerhalb von Europa und den USA gesperrt.

Leider muss man inzwischen so vorgehen, ja. Wobei ich per .htaccess vorgehe, von Ext-Lösungen halte ich auf dem Gebiet nicht viel, denn der Traffic kommt ja so trotzdem im Forum an und genau das will man ja verhindern, weil dann nach wie vor Resourcen belastet werden. Den ganzen Mist muss man schon an der "Haustür" abweisen.

Damit hast du natürlich Recht. Da die IP-Adressen aber so oft wechseln kommt man manuell praktisch nicht mehr nach, daher die EXT. In der hab ich die verbotenen Aufrufe übrigens auf die Seiten von Interpol umgelenkt

Grücce
Pfiffy

[LukeWCS]

Wie lange dies funktioniert wird sich zeigen.

Das wird nur sehr kurzfristig helfen, weil User Agent Strings im Prinzip nahezu wertlos sind, was Abwehr angeht. Was in der Kennung drin steht, darauf kann man keinen Pfifferling geben. Und die Ganoven ändern schnell ihre Methoden, wir haben da eine starke Dynamik inzwischen.

Hello, schwierig: Serverkonfiguationen im ROOT sind unterschiedlch! Bitte beim Host anfragen (u. U. wichtig!).

Guter Punkt:

Wenn hier im Thema Methoden gezeigt werden, dann heisst das nicht, dass die bei allen funktionieren. Zum Beispiel ist das GeoIP Modul laut meiner Recherche wohl etwas, das nicht jedem zur Verfügung steht. Das hängt also a) vom Hoster ab und b) evtl. auch vom Hosting-Paket. Da muss also jeder selber bei seinem Hoster recherchieren, was er nutzen kann und was nicht. Also auch hier gibts leider keine Universallösung sondern immer nur näherungsweise Lösungen.

Merci für die Liste! Da sind schon mal mehrere Übereinstimmungen mit meinen Logs, das werde ich so übernehmen.

Da die IP-Adressen aber so oft wechseln kommt man manuell praktisch nicht mehr nach

Jupp, Kampf gegen Windmühlen quasi. Eben deswegen habe ich auch die "grobe Keule" ausgepackt und sperre gleich Länder-weise. Das ist natürlich grosser Quark, aber das muss erstmal reichen.