Dauerzugriffe durch chinesische IPs

[Timm]

Danke Hanspeter,

das ist mir aber etwas zu risikoreich bzw. zu aufwendig. Ich möchte keine Plattform unbeabsichtigt ausschließen, weil ich sie in der whitelist vergesse zu erwähnen. Ich hab ja kein Problem damit, wenn Leute quasi Werbung für mich machen, wenn sie meine Bilder mit einem Beitrag in einem Forum oder auf ihrem Blog posten. Allerdings kenn ich die Seiten vorher nicht. Und die htaccess würde dadurch auch ziemlich lang werden, wenn man alles einfügt und würde dann die Seite bei jedem Aufruf verlangsamen, statt nur bei einem Aufruf der externen Quelle, wo mein Bild eingebunden ist.

Aber vielmals danke, dass du dir Gedanken dazu gemacht hast.

Gruß Timm

[andrewx]

Kein Chinese wird je bei euch kaufen! Also sperrt sie aus, spart euch viel ärger, Spammer, contenabgreifer

<IfModule mod_geoip.c>
   GeoIPEnable On
      SetEnvIf GEOIP_COUNTRY_CODE (CN|**) BlockCountry
      Deny from env=BlockCountry
</IfModule>

** beliebig erweiterbar..

    IN = Indien
    UA = Ukraine
    FR = Frankreich
    RO = Romänien
    VN = Vietnam
    CA = Kanada
    IT = Italien
    NL = Niederlande

Für die herumschreienden "Das ist auf laut §XY nicht erlaubt Freaks" sei gesagt.. ist mir egal

[Timm]

Dir ist aber klar, dass das bei Seiten die auf einem Webhosting liegen nicht funktionieren wird? Das funktioniert nur auf eigenem Server wenn mod_geoip.c installiert ist.

Gruß Timm

[Timm]

Abend,

kann mir jemand sagen, wie ich den http useragent einer IP Adresse herausbekomme? Mein Hoster hatte mir die üblichen Verdächtigen in meinem Shop vermutlich über die Logs herausgefunden. Ich hatte heute seit langem wieder eine chinesische IP die meine Seiten ständig aufruft.

Code: XML  [Auswählen]

182.140.244.74

Finde die IP zwar im access.log aber keine http useragent, den ich in meinem htaccess Eintrag hinzufügen könnte.

Gruß Timm

[Viol]

Hier mal nachsehen:
https://anti-hacker-alliance.com/index.php?ip=182.140.244.74
Vielleicht wirst Du da fündig...

[Tante Uschi]

Code: XML  [Auswählen]

182.140.244.74

Also es scheint, als ob diese IP keinen Useragent hat, aber sie ist ziemlich bekannt im Netz, sollte also bei dieser reichen die reine Ip zu sperren, ohne Gefahr zu laufen damit einen falschen auszusperren.

[Timm]

Danke für die Antworten. Werde mal weiter beobachten. Eine IP würde ich ungern eintragen, weil die sicher eine Range an IPs haben und weil die IP ja mal jemand anderem zugeordnet werden könnte.

Gruß Timm

[Tante Uschi]

gib mal bitte im Google fogendes ein --> "182.140.244.74" user agent

dort kommst Du auf eine Seite, ich möchte den Link hier nicht hinsetzen, wenn du die Zahlen url hinter den Zahlen so erweiterst kommst Du zu zwei Einträgen zu Deiner gesuchten IP, ich habe keine Ahnung ob Dir das hilft, aber es ist das Einzige was ich dazu gefunden habe (auch dort steht kein useragent), aber vielleicht helfen Dir die restlichen Infos dabei einen Wert zu finden der in die htaccess passen würde um sie auszuschließen:

/waec.2/index.php?r=debug%2Fdefault%2Fview&panel=request&tag=5dbc278b63227

/waec.2/index.php?r=debug%2Fdefault%2Fview&panel=request&tag=5dbc278bd4990

[Viol]

Ich habe gerade in der who is online unter IP-Adresse diesen Eintrag:
}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O

Gibt es dafür eine Erklärung?

[Bonner]

Gibt man das bei Tante G. ein, zeigen die Ergebnisse, dass das wohl ein Attackversuch auf Joomla Seiten ist.

Bonner

[Timm]

Abend

Der Grund warum die unsere Seite so penetrant gecrawlt haben kann zb darin liegen, dass man die Produkte auf unseriösen Seiten wesentlich günstiger einstellt, wo dann nur das Geld kassiert wird, aber nie die Ware ausgeliefert wird. Die Ware gibts ja auch gar nicht, sondern nur die Bilder davon. Insofern würde ich nicht unbedingt jedem erlauben die Seite crawlen zu lassen.

Hab letztens nämlich eine Seite gefunden, die ziemlich viele Bilder meiner Mum nutzt. Die Seite wird im Internet auch als Betrugsseite aufgeführt. Gibt auch kein Impressum und Zahlung nur per Kreditkarte. Ist also nicht einfach da an irgendwen heranzukommen.

wwwpunktgolynkamarketpunktcom/20-edle-acryl-fancy-rainbow-perlen-marmoriert-kugel-10-x-10-mm-loch-2-mm-kinder-p-76321.htm

Gruß Timm

[Timm]

Ich habe folgende Änderung in meiner .htaccess und es war nun eigentlich ewig ruhig.

Code: XML  [Auswählen]

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} (LieBaoFast|zh_CN|zh-CN|Mb2345Browser|seocompany|SEOkicks|Uptimebot|Cliqzbot|ssearch_bot|domaincrawler|AhrefsBot|spot|DigExt|Sogou|MegaIndex.ru|majestic12|80legs|SISTRIX|HTTrack|Semrush|MJ12|MJ12bot|MJ12Bot|Ezooms|CCBot|TalkTalk|Ahrefs|BLEXBot) [NC]
RewriteRule .* - [F]

Im Moment nervt mich seit Tagen aber ein chinesischer IP Kreis, der bei jedem Aufruf die IP wechselt.

Wenn sie eine Signatur wie zh-CN haben, dann werden sie geblockt.

Code: XML  [Auswählen]

114.119.165.184 - - [16/Feb/2020:05:39:53 +0100] "GET /Fabrilogy:.:2.html?MODsid=............ HTTP/1.0" 403 1234 "-" "Mozilla/5.0(Linux;U;Android 5.1.1;zh-CN;OPPO A33 Build/LMY47V) AppleWebKit/537.36(KHTML,like Gecko) Version/4.0 Chrome/40.0.2214.89 UCBrowser/11.7.0.953 Mobile Safari/537.36"

Wenn sie aber keine Signatur haben wie in diesem Fall, dann werden sie nicht geblockt.

Code: XML  [Auswählen]

114.119.131.66 - - [16/Feb/2020:05:40:17 +0100] "GET /Jersey/Jersey-Motiv:::12_30.html?MODsid=........... HTTP/1.0" 301 602 "-" "Mozilla/5.0(Linux;Android 5.1.1;OPPO A33 Build/LMY47V;wv) AppleWebKit/537.36(KHTML,link Gecko) Version/4.0 Chrome/42.0.2311.138 Mobile Safari/537.36“

Wie ich im log festgestellt habe, haben aber alle Anfragen den gleichen Gerätetypen, wenn auch mit leicht unterschiedlichem Firmwarebuild und Browserversion

Code: XML  [Auswählen]

OPPO A33 Build/LMY47V

Könnte man diesen Teil auch in der oben genannten .htacces Zeile einfügen und sie somit sperren? Zumindest kurzfristig, bis sie die Lust verlieren. Mir ist klar, dass das keine dauerhafte Lösung sein kann Geräte zu sperren, weil jeder Kunde mit dem gleichen Gerät auch nicht auf die Seite kommt. Aber in Kombination mit dem Build ... ist das ja vielleicht schonmal etwas eingeschränkter und betrifft nur wenige.

Interessant an der Sache scheint mir, dass hier Smartphones zum crawlen der Seite genutzt werden. Ich hätte erwartet, dass das von PCs erledigt wird.

Gruß Timm

[Tante Uschi]

Hallo Timm,

wie schlimm ist den der Zugriff? weil:

https://www.projecthoneypot.org/ip_114.119.166.120

Was mich allerdings wundert ist, dass die Chinesen offenbar trotz unglaublichen Quarantäne-Zuständen Zeit haben dafür, hat jemand von Euch eine Idee (kann auch gern abstrus sein) warum sie es machen?

Gruß

[Morgenstund]

Die Zugriffe über 114.119.xxx.xxx haben bei mir vorigen November angefangen, zunächst wochenlang mit 2-3 Abfragen pro Sekunde. Dann war eine Zeitlang Ruhe. Mittlerweile sind wieder Zugriffe zu verzeichnen, allerdings mit weitaus niedrigerer Frequenz, mit so ca. 5-10 Sekunden Pause zwischen den Zugriffen. Ich nehme an, da ist eine Suchmaschine am Werk, die zunächst etwas übereifrig zur Tat schritt. Jedenfalls ist bislang nichts passiert, was auf finstere Absichten schließen ließe.

[Timm]

@Tante Uschi
Wie ich weiter oben schon schrieb hab ich Kopien unserer Produkte auf betrügerischen Websites, die niemals liefern sondern nur kassieren, gefunden.

Denke das ist der Grund.

Zugriffe kommen alle 10s.

Den 500er Fehler auf der Modifiedseite bekomme ich auch ab und zu. Dem Rest kann ich nicht so recht folgen.

@morgenstund
Würde eine Suchmaschine mit Handys deine Seite crawlen? Eher unwahrscheinlich.

Gruß Timm