Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  10 1575
['hip','hip']
49 8
Noen som kan gi meg tips til hvordan jeg blokkerer spambot'er som har en gammel referer til siden min ?

I apache error log får jeg opp ca 50 error msg pr time, alltid med forskjellig ip så nytter ikke blokkere ip.

Kode

[Thu May 19 17:35:57 2016] [error] [client 91.236.120.8] File does not exist: /home/webpage/public_html/46.148.30.15, referer: http://www.mittdomene.no/index.php?9am=gjestebok.php
Har forsøkt å sette en snippet i index.php med denne koden :

Kode

if(isset($_GET['9am'])){ header("location: " . $_SERVER['REMOTE_ADDR']);	exit(); }
Men error popper fortsatt opp..

Noen ideer/råd?
Trigonoceps occipita
vidarlo's Avatar
Donor
Ignorer det. Nokon ser etter noko som ikkje finst.
Om det er fryktelig irriterende kan du bruke .htaccess til å sende de whatever du vil: http://tltech.com/info/referrer-htaccess/

Eller om du ikke vil at de skal treffe Apache i hele tatt: putt Varnish foran og dropp trafikken (eller send de en 301 redirect til en eller annen shady porrside): http://go2linux.garron.me/linux/2011...hing-1123.html
['hip','hip']
Trådstarter
49 8
Sitat av vidarlo Vis innlegg
Ignorer det. Nokon ser etter noko som ikkje finst.
Vis hele sitatet...
Ja, men jeg ønsker å få det vekk.. 50 slike i timen x 24 timer = 1200 i døgnet.. det fyller opp loggen slik at det jeg faktisk ønsker å følge med på blir vanskeligere å finne.

Det må da være en måte å enten få de til å slutte eller luke de vekk på. Den siden de refererer til ble tatt ned i begynnelsen av 2007, så du kan tenke hvor mange slike linjer jeg har i loggen...
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av FanzyPants Vis innlegg
Ja, men jeg ønsker å få det vekk.. 50 slike i timen x 24 timer = 1200 i døgnet.. det fyller opp loggen slik at det jeg faktisk ønsker å følge med på blir vanskeligere å finne.

Det må da være en måte å enten få de til å slutte eller luke de vekk på. Den siden de refererer til ble tatt ned i begynnelsen av 2007, så du kan tenke hvor mange slike linjer jeg har i loggen...
Vis hele sitatet...
Det er jo trivielt å fjerne dei frå visning av loggen med t.d. grep -v.
Sitat av FanzyPants Vis innlegg
Ja, men jeg ønsker å få det vekk.. 50 slike i timen x 24 timer = 1200 i døgnet.. det fyller opp loggen slik at det jeg faktisk ønsker å følge med på blir vanskeligere å finne.
Vis hele sitatet...
Et annet tips er å benytte et bedre verktøy for å monitorere loggdataene, slik at man får varsler om faktiske problemer og ikke blir nødt til å følge med hele tiden.

Jeg antar du ikke har mer enn 500mb error-logger i døgnet, og da er http://www.splunk.com/ gratis, temmelig lett å sette opp og gir deg masse muligheter for alerts på feil, søk i loggdatane, trendanalyse +++

Evt så har man opensource-alternativer i ELK-stacken (elasticsearch, logstash, kibana)
['hip','hip']
Trådstarter
49 8
Gosh, mye å lære..
Men akkurat nå ønsker jeg mest bare å bounce de vekk..

En htaccess rule virker for meg som det raskeste og enkleste alternativet, men kan lite til ingenting om .htaccess..
Noen som kan skrive en rule som får de bouncet vekk for meg ?

Når referer inneholder "?9am=gjestebok.php" -> bounce til "www.exempel.com" :P
Trigonoceps occipita
vidarlo's Avatar
Donor
Det eg lurer på er jo kvifor du vil lese logger, for du forstår jo ikkje kva som skjer.

Det som skjer er følgande:
Klienten 91.236.120.8 requester /46.148.30.15, som ikkje finst - og som genererer 404. Klienten hevder at den kjem frå http://www.mittdomene.no/index.php?9am=gjestebok.php. Det kan du åpenbart ikkje løyse ved å settje inn kode i index.php - ettersom det ikkje er den som er problemet, og det uansett er trivielt å sende feilaktig referer.

Om det er samme klient kvar gang kan du blokkere vedkommande, ettersom det neppe er spesielt legitim trafikk uansett.

Om det er forskjellig IP kvar gong mot samme URL kan du alltids slenge ei tom fil med det navnet der. Å fjerne det frå loggen er relativt lite hensiktsmessig, og redirect er heller ikkje spesielt hensiktsmessig.

Tho, det skal seiast at IPane var jo forsåvidt interessante...
['hip','hip']
Trådstarter
49 8
Sitat av vidarlo Vis innlegg
Det eg lurer på er jo kvifor du vil lese logger, for du forstår jo ikkje kva som skjer.

Det som skjer er følgande:
Klienten 91.236.120.8 requester /46.148.30.15, som ikkje finst - og som genererer 404. Klienten hevder at den kjem frå http://www.mittdomene.no/index.php?9am=gjestebok.php. Det kan du åpenbart ikkje løyse ved å settje inn kode i index.php - ettersom det ikkje er den som er problemet, og det uansett er trivielt å sende feilaktig referer.

Om det er samme klient kvar gang kan du blokkere vedkommande, ettersom det neppe er spesielt legitim trafikk uansett.

Om det er forskjellig IP kvar gong mot samme URL kan du alltids slenge ei tom fil med det navnet der. Å fjerne det frå loggen er relativt lite hensiktsmessig, og redirect er heller ikkje spesielt hensiktsmessig.

Tho, det skal seiast at IPane var jo forsåvidt interessante...
Vis hele sitatet...
Jeg forstår fint hva som skjer i loggen, og de requester egentlig gjestebok.php men fordi jeg har satt inn en header("location: " . $_SERVER['REMOTE_ADDR']); i håp om at den skulle bounce i retur (noe den tydligvis ikke gjor, fordi jeg glemte http forran *fikset nå..*) så requester den min url / deres egen ip..

Og som jeg sa tidligere, det er ikke samme klient, det er en rekke med forskjellige bot'er som forsøker å spamme en gammel gjestebok som ble tatt ned i 2007.

virker som koden min fungerte nå.. ingen errormsg de siste 10 minuttene..

Brukte denne snutten helt øverst i index.php

Kode

if(isset($_GET['9am'])){
	header("location: http://".$_SERVER['REMOTE_ADDR']);
	exit();		
}
Sist endret av FanzyPants; 19. mai 2016 kl. 19:32. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
m0b
m0b's Avatar
DonorAdministrator
For øvrig, hvis du vil ha noe som er litt mer orientert mot å parse apache-loggene og utføre en aktiv blokkering i iptables mot det som er agressivt utforskende, så har fail2ban muligheter for å få dette til.

Les igjennom denne her, den tar for seg konfigurasjonen for akkurat dette under kapitlet "Configuring Fail2Ban to Monitor Apache Logs". Er riktig nok for Ubuntu 14.04, men spiller liten rolle.

Skulle sikkert ha lest godt igjennom den selv tho. Denne er kanskje mer spesifik til din case. https://github.com/miniwark/miniwark...tup-for-Apache
Sist endret av m0b; 19. mai 2016 kl. 20:02. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
['hip','hip']
Trådstarter
49 8
Takk for svar

fail2ban så spennende ut, skal ta en titt på den!
Kan bekrefte at den lille snippeten min fungerer, og har ikke hatt en eneste entry siden jeg satte http:// forran ".$_SERVER['REMOTE_ADDR']

liasis:
takker for link, har lest litt der nå og blir nok å benytte meg av dette også