Neu Sprunghafte Zunahme von Visits bei JTL Shops

[holzpuppe]

So, nu meld ich mich auch mal. Sprunghafte Zunahmen verzeichnen wir seit Anfang 2019, immer gerne das dreifache der "normalen" Besucherzahl. Und jetzt im Januar sogar das fünffache. *irre*


Danke an CSS-Umsetzung für den Schnippsel. Und auch an lj-shadow.
Die ersten Bots kullern nun in die Logs, die ich vorher selbst in awstats noch nicht so gesehen habe. (Oder ich habs übersehen.)

Meine htaccess sieht aktuell so aus
(Bestimmt verbesserungswürdig, aber die verschiedenen Varianten haben sich mit der Zeit so ergeben und zugegeben, ich hab an sich keine Ahnung davon. Aber es funktioniert. xD) :

#block bad bots with a 403
SetEnvIfNoCase User-Agent "AhrefsBot" bad_bot
SetEnvIfNoCase User-Agent "Baiduspider" bad_bot
SetEnvIfNoCase User-Agent "BBot" bad_bot" bad_bot
SetEnvIfNoCase User-Agent "BLEXBot" bad_bot
SetEnvIfNoCase User-Agent "Custo" bad_bot
SetEnvIfNoCase User-Agent "CFNetwork" bad_bot
SetEnvIfNoCase User-Agent "CMS Crawler" bad_bot
SetEnvIfNoCase User-Agent "CsCrawler" bad_bot
SetEnvIfNoCase User-Agent "DomainAppender" bad_bot
SetEnvIfNoCase User-Agent "Grapeshot Crawler" bad_bot
SetEnvIfNoCase User-Agent "Jakarta commons-httpclient" bad_bot
SetEnvIfNoCase User-Agent "Lipperhey SEO Service" bad_bot
SetEnvIfNoCase User-Agent "Linkdex" bad_bot
SetEnvIfNoCase User-Agent "MegaIndex.ru" bad_bot
SetEnvIfNoCase User-Agent "MJ12bot" bad_bot
SetEnvIfNoCase User-Agent "ning" bad_bot
SetEnvIfNoCase User-Agent "Python-urllib" bad_bot
SetEnvIfNoCase User-Agent "Phantom" bad_bot
SetEnvIfNoCase User-Agent "Perl tool" bad_bot
SetEnvIfNoCase User-Agent "pegasus" bad_bot
SetEnvIfNoCase User-Agent "spbot" bad_bot
SetEnvIfNoCase User-Agent "SEOprofiler Bot" bad_bot
SetEnvIfNoCase User-Agent "SMTBot" bad_bot
SetEnvIfNoCase User-Agent "SurveyBot" bad_bot
SetEnvIfNoCase User-Agent "SISTRIX Crawler" bad_bot
SetEnvIfNoCase User-Agent "Sogou Spider" bad_bot
SetEnvIfNoCase User-Agent "Verisign" bad_bot
SetEnvIfNoCase User-Agent "WebFilter" bad_bot
SetEnvIfNoCase User-Agent "Web Core / Roots" bad_bot
SetEnvIfNoCase User-Agent "WebMeUp backlink tool" bad_bot
SetEnvIfNoCase User-Agent "WGet tools" bad_bot
SetEnvIfNoCase User-Agent "Mb2345Browser" bad_bot
SetEnvIfNoCase User-Agent "LieBaoFast" bad_bot
SetEnvIfNoCase User-Agent "zh-CN" bad_bot
SetEnvIfNoCase User-Agent "MicroMessenger" bad_bot
SetEnvIfNoCase User-Agent "zh_CN" bad_bot
SetEnvIfNoCase User-Agent "Kinza" bad_bot

<Limit GET POST HEAD>
  Order Allow,Deny
  Allow from all
  Deny from env=bad_bot
</Limit>

RewriteCond %{HTTP_USER_AGENT} ^.*Baidu.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*MJ12bot.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*SEOprofiler.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Ahrefs.*$[NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Sogou.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*BBot.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Python-urllib.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*SurveyBot.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Perl.?tool [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Jakarta.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Grapeshot.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Custo.*$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*Verisign.*$ [NC,OR]
RewriteRule ^(.*)$ http://127.0.0.1 [R,L]

RewriteCond %{HTTP_REFERER} ^http://.*majestic12\.co\.uk/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://.*ahrefs\.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://.*openlinkprofiler\.org/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^https://.*ahrefs\.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://.*sogou\.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://.*netwu\.com/ [NC,OR]
RewriteCond %{HTTP_REFERER} ^http://.*grapeshot\.co\.uk/ [NC]
RewriteRule ^(.*)$ http://127.0.0.1 [R,L]

Der "Block" steht bei mir zwischen:

<IfModule mod_rewrite.c>
  RewriteEngine on
    RewriteCond %{HTTPS} off [OR]
    RewriteCond %{HTTP_HOST} ^www\. [NC]
    RewriteRule ^ https://meineURL.com%{REQUEST_URI} [R=301,L,NE]

Und

 #REWRITE ANPASSUNG 1 (REWRITEBASE)
  #Wenn Ihr Shop in einem Unterverzeichnis (also z.B. meinedomain.de/meinverzeichnis) installiert ist, so kommentieren Sie die kommende Zeile aus und passen Sie den Verzeichnisnamen an
  RewriteBase /

 

[css-umsetzung]

RewriteRule ^(.*)$ http://127.0.0.1 [R,L]

Ich würde denen immer eindeutig klar machen das sie nicht erwünscht sind in der Hoffnung das die Bots, um dann selbst auch ressourcen einzusparen mich auf die Blacklist setzen

 

[netgmbh]

Bei uns sind ebenfalls merkwürdige Anstiege zu verzeichnen. Zudem ist unsere Statistik vor juni 2019 gelöscht. Woran es liegt wissen wir nicht.

 

[lj-shadow]

Zudem ist unsere Statistik vor juni 2019 gelöscht. Woran es liegt wissen wir nicht.

Das dürfte an dem Plugin "Recht auf Vergessenwerden" liegen...

 

[Rainer S]

Zudem ist unsere Statistik vor juni 2019 gelöscht. Woran es liegt wissen wir nicht.

Das dürfte an dem Plugin "Recht auf Vergessenwerden" liegen...

Kann aber auch an aktiviertem Garbage Collector (Automatische Shop Bereinigung ) liegen wenn dieser im Backend unter System --> globale Einstellungen --> Globale Einstellungen aktiviert ist.

 

[netgmbh]

Also ich war jetzt mal etwas in den Protokollen und kann auch viele Zugriffe aus China verzeichnen. Zudem haben wir unsere Hosting Partner informiert und die habe extrem viele abrufe durch Yandex festgestellt.
Unsere Besucherzahl liegt normalerweise bei 150-300 pro Tag. Seit dem 31.12.2019 sind es 3000-5000 pro Tag.

fail2ban dürfen wir nicht installieren. Hat jemand eine Liste um ip's aus China in der htaccess zu blockieren?

Edit:
Unsere aktuelle Besucherzahl, die momentan im Shop unterwegs sind liegt bei 2154

 

[nonorush]

Die Idee soetwas handisch zu lösen finde ich nicht zielführend. Ich lasse fail2ban gerade 1,5 Stunden laufen und es sind ca. 420 IPs blockiert. Ich habe die Sperrzeit auf 7 Tage gesetzt wenn man es auf 5 Stunden lässt fängt der Spaß wieder von vorne an denke ich. Einfach komplette Adressbereiche sperren ist kurzfristig eine Lösung die meisten Angriffe kommen von 54.36.148.xxx und 54.36.149.xxx.
Was ich mich frage warum in der Statistik vom JTL Shop Webcrawler der Suchmaschinen als Besuch zählen. Das müsste man mal ändern.

 

[lj-shadow]

fail2ban dürfen wir nicht installieren.

Sowas hat meiner Meinung nach auf jedem Server zu sein. Schon alleine wegen anderen Gefahren.
Böse Web-Crawler zu sperren ist da nur Beiwerk

Ich lasse fail2ban gerade 1,5 Stunden laufen und es sind ca. 420 IPs blockiert.

Da kommt noch mehr...
Bin bei 2000. Tendenz steigend.

 

[chris42]

Hat jemand bitte eine passende Config Datei für fail2ban?

Danke

mfg chris

 

[lj-shadow]

https://forum.jtl-software.de/threa...e-von-visits-bei-jtl-shops.125549/post-685643

 

[hula1499]

if(preg_match("/Mb2345Browser|LieBaoFast|zh-CN|MicroMessenger|zh_CN|Kinza|MJ12bot|AhrefsBot/",$_SERVER['HTTP_USER_AGENT'])) { header('HTTP/1.0 403 Forbidden'); die("zugriff nicht erlaubt"); }

Wenn ein Bot mit einer Versionsnummer kommt, zb.

Mozilla/5.0 (compatible; SemrushBot/6~bl; +http://www.semrush.com/bot.html)

wird dieser mit der Eingabe von "SemrushBot/" oder "SemrushBot" bei mir nicht geblockt. Muss dafür noch irgendeine Wildcard verwendet werden?

 

[lj-shadow]

Wenn ein Bot mit einer Versionsnummer kommt, zb.



wird dieser mit der Eingabe von "SemrushBot/" oder "SemrushBot" bei mir nicht geblockt. Muss dafür noch irgendeine Wildcard verwendet werden?

Versuchs mal mit

.*SemrushBot.*

 

[hula1499]

Versuchs mal mit

.*SemrushBot.*

Mit

|.*SemrushBot.*|.*DotBot.*

kommen leider beide weiterhin.

 

[css-umsetzung]

nur |SemrushBot muss ausreichend sein du du darfst das / nicht verwenden, das darf nur einmal am Anfang und einmal am Ende stehen.

 

[hula1499]

Jo, das "/" wurde von mir nicht für Anfang/Ende erkannt:

if(preg_match("/SemrushBot|DotBot/",$_SERVER['HTTP_USER_AGENT'])) {
    header('HTTP/1.0 403 Forbidden');
    die("zugriff nicht erlaubt");
}

funktioniert nun, danke.

 

[Dustin]

Jo, das "/" wurde von mir nicht für Anfang/Ende erkannt:

if(preg_match("/SemrushBot|DotBot/",$_SERVER['HTTP_USER_AGENT'])) {
    header('HTTP/1.0 403 Forbidden');
    die("zugriff nicht erlaubt");
}

funktioniert nun, danke.

In welcher Datei verwendest du das?

 

[hula1499]

In welcher Datei verwendest du das?

Shop:
/includes/config.JTL-Shop.ini.php

Ich sperre aber AhrefsBot absichtlich nicht, da ich dort einen Account hab. Willst alle diese SEO Crawler sperren, würd ich AhrefsBot noch dazunehmen:

if(preg_match("/AhrefsBot|SemrushBot|DotBot/",$_SERVER['HTTP_USER_AGENT'])) {
    header('HTTP/1.0 403 Forbidden');
    die("zugriff nicht erlaubt");
}

Theoretisch auch noch rogerbot, aber der war bei mir noch nicht


Und hätte man (ich) sich seine php log angesehen, hätte man dort auch gefunden:

[09-Jan-2020 08:37:56 Europe/Berlin] PHP Warning: preg_match(): No ending delimiter '/' found in /xxx/includes/config.JTL-Shop.ini.php on line 15

 

[bulldog28]

Wir haben das gleiche Phänomen seit einigen Tagen. Hier unser Screenshot. Kontaktieren heute mal unseren Hoster und schicken ihm die Infos zu den Lösungsansätzen, da wir selbst keine Ahnung von soetwas haben. Lt. dem Dashbar-Plugin wird immer nur eine gefilterte Seite aufgerufen. Dies passiert in unserem "alten" JTL Shop. Version 4.06 (Build: 15) - Wir haben noch einen zweiten Shop, der erst ein Jahr ca. online ist, mit einer älteren Version (4.06 (Build: 11) ), dort ist alles ruhig. Unterschied außerdem und vielleicht relevant: Der Shop auf dem es auftritt ist extern gehostet, der "ruhige Shop" ist bei JTL direkt.

 

[css-umsetzung]

Unterschied außerdem und vielleicht relevant: Der Shop auf dem es auftritt ist extern gehostet, der "ruhige Shop" ist bei JTL direkt.

Das ist der feine Unterschied, denn JTL scheint hier gut greifende Fail2Ban regeln zu haben (ich gehe davon aus das sie das auch nutzen)
Es wäre natürlich toll wenn JTL hier auch ein wenig unterstützend mitwirken würde was die Regeln angeht.

 

[nonorush]

Mein Fial2ban badbot Filter der hier veröffentlicht wurde hat ca. 600 IPs geblockt. Mehr kommen nicht dazu aber die Besucher statistiken steigen weiter. Es wird auch von Tag zu Tag mehr.