Neu Sprunghafte Zunahme von Visits bei JTL Shops

[JTL_Fan]

Dein Bild ist nicht sehr aussagekräftig. Der htaccess-Schutz leitet jeden Request des Botnetzes weiterhin zum Webserver, der den dann mit einem 403 Response-Code beantwortet. Jeder Request des Bot-Netzes taucht also weiterhin in dem Apache-Log auf. Zur Kontrolle der Funktion musst Du in Deinem Apache-Log nachsehen, ob der Request mit einem 403-Response-Code beantwortet wurde. Das ist der Unterschied zu fail2ban. fail2ban blockiert schon oberhalb der Netztwerkkarte und lässt den Request gar nicht mehr zum Webserver durchkommen.

Es war tatsächlich das Problem mit der Reihenfolge in der htaccess. Der htaccess Code steht nun bei uns direkt nach

<IfModule mod_rewrite.c>
  RewriteEngine on

Jetzt funktioniert es

 

[lj-shadow]

Das ist soooo nicht ganz richtig.
Die log von CSS ist erst NACH php-ausführung

 

[Stephs182]

Wir von zitro Hosting möchten Euch an auch an unseren Erkenntnissen teilhaben lassen, da wir bei uns zwischenzeitlich schon das Botnetz auf ca. 200.000 IP-Adressen identifizieren konnten.

Kann es sein, das die Chinesen dort die IPs genauso dynamisch beziehen wie wir hier in DE mit unseren einfachen DSL Anschlüssen? Einmal neuverbinden und du hast ne neue IP.

Also das dieses Botnetz nicht wirklich über eigene IPs verfügt?!

 

[lj-shadow]

Ich habe nen Bot aus einer Huawei cloud.
Jede Menge IPs

 

[Josch41]

Peak bereits Mitte November bei uns.

 

[werketto]

Wir haben seit 28.12. auch regelmäßig die Ausbrüche in den Besucherzahlen:

 

[Stephs182]

Man muss natürlich auch sagen, dass diese Sperrerei auf der einen Seite gut und nützlich ist, aber wenn der Bot dann mal eben mit 700 - 1000 Bots gleichzeitig kommt, dann stöhnt der Server von ganz schön und geht in die Knie. (gerade gehabt). Dann läuft der RAM voll und dann geht da nix mehr.
Seit gestern abend greift die Regel bei mir auf den Servern deutlich besser. Auf dem mit dem großen Shop sind wir nun bei über 34.000 IPs die ausgesperrt wurden. Vorher hatte ich über die htaccess nicht ganz so umfangreich gesperrt und hatte nur 2000 IPs in den Sperrungen drin.
Der andere Server wo viele kleinere JTL-Shops laufen, der hat bisher nur 5700 IPs drin in der Sperre..

Cool wäre, wenn man diese IPs unter den Servern syncen könnte, das nicht jeder Server die IPs erkennen muss.

 

[lj-shadow]

Ich hab da grade was gefunden, was recht vielversprechend aussieht.
Allerdings ist's ad hoc nicht Plesk-fähig.
Vielleicht kann ich mit @css-umsetzung mal drüber sprechen... Ganz alleine trau ich mich da nicht ran

 

[css-umsetzung]

Vielleicht kann ich mit @css-umsetzung mal drüber sprechen... Ganz alleine trau ich mich da nicht ran

Ich.... ich kann gerne schauen aber es ist jetzt nicht so das ich in dem Bereich der mega Crack bin, mein Thema ist ja eher die PHP Geschichte.
Das was ich von Zitrohosting gelesen habe sieht schon sehr nach dem NextLevel der Server Verwaltung aus und er scheint ja nen Plan zu haben, vermutlich ist er für spezielle Serverhacks der kompetentere Partner.

Was mich nur etwas ärgert ist der Zustand das ich bei JTL Hosting Kunden in den Shops diese Probleme nicht sehe, @JTL hier aber die Füße still hält und keinerlei Informationen rausrückt wie sie es geschafft haben.
Ich gehe davon aus das Sie das nicht über Fail2Ban gelöst haben denn dann würde man den Anstieg der Zugriffe ja sehen, wenn auch nicht so extrem.
Mein Log Test zeigt dort auch keinen dieser Störenfriede an und zumindest den ersten Zugriff würde ich ja sehen.

 

[zttom]

Cool wäre, wenn man diese IPs unter den Servern syncen könnte, das nicht jeder Server die IPs erkennen muss.

Das ist das Ding wo wir gerade dran arbeiten und Euch dran teilhaben werden:

Wir beabsichtigen nächste Woche einen Dienst bereitzustellen, wo Ihr die aktuell ca. 200.000 und stetig steigenden IP-Adressen aus dem Botnetz über eine RESTful-API kostenfrei laden könnt, um Euren fail2ban-filter zu trainieren. Eine Anbindung an fail2ban werden wir hier auch posten. Wenn Ihr Eure gefundenen IP-Adressen automatisch über fail2ban über unseren Dienst mit den anderen betroffenen teilen wollt, dann könnt Ihr über eine PM an mich einen Accesstoken erhalten. Accesstoken und Schnittstelle kommen dann vrstl. Ende der kommenden Woche.

 

[lj-shadow]

Ich.... ich kann gerne schauen aber es ist jetzt nicht so das ich in dem Bereich der mega Crack bin, mein Thema ist ja eher die PHP Geschichte.
Das was ich von Zitrohosting gelesen habe sieht schon sehr nach dem NextLevel der Server Verwaltung aus und er scheint ja nen Plan zu haben, vermutlich ist er für spezielle Serverhacks der kompetentere Partner.

Dann warte ich ab, was da kommt.

 

[bbfdesign]

Was mich nur etwas ärgert ist der Zustand das ich bei JTL Hosting Kunden in den Shops diese Probleme nicht sehe, @JTL hier aber die Füße still hält und keinerlei Informationen rausrückt wie sie es geschafft haben.
Ich gehe davon aus das Sie das nicht über Fail2Ban gelöst haben denn dann würde man den Anstieg der Zugriffe ja sehen, wenn auch nicht so extrem.
Mein Log Test zeigt dort auch keinen dieser Störenfriede an und zumindest den ersten Zugriff würde ich ja sehen.

Ich muss hier aber auch sagen, dass wir Kunden haben, bei denen es bisher keine Peaks gegeben hat und auf einmal treten bei denen auch die Zugriffe auf. Vielleicht hattest Du bisher "Glück" noch keinen Kunden zu haben, der bei JTL Hosting diese Auffälligkeiten hatte? Deswegen mal eine Frage in die Runde: Bei denen mit den Peaks - ist jemand dabei, der sein Hosting über JTL bezieht? Vielleicht muss man ja so fragen, wenn sich JTL dazu nicht konkret äußert?

BTW: Ich empfehle und arbeite seit etwa 20 Jahren (oh man, bin ich alt geworden...) zitro hosting.

 

[razzio]

Wir hosten selber und haben (hatten ) die Ausreißer auch. Wir nutzen Cloudflare und haben dort die ungebetenen Länder jetzt ausgesperrt. Das war für uns jetzt erstmal die schnellste und bequemste Lösung. Wir beobachten das weiterhin.

 

[bbfdesign]

Wir hosten selber und haben (hatten ) die Ausreißer auch. Wir nutzen Cloudflare und haben dort die ungebetenen Länder jetzt ausgesperrt. Das war für uns jetzt erstmal die schnellste und bequemste Lösung. Wir beobachten das weiterhin.

Beachtet aber, wie zttom geschrieben hat, die DSGVO.

 

[sjk]

Wir nutzen Cloudflare [...] erstmal die schnellste und bequemste Lösung

Mal ganz unabhängig von der DSGVO übergibt man damit erstmal schnell und bequem eine vollständige, unverschlüsselte Kopie seines Verkehrs (da Shop, schön mit Adresse, email, evtl. Telefon, Kaufbeträgen, Artikel etc pp) an ein Drittunternehmen. Das würde ich schon allein aus Rücksicht auf das Vertrauen meiner Kunden nicht machen wollen und führt alle Bemühungen hinsichtlich Cookies, Datensparsamkeit usw. ad absurdum.
Zudem verbrennt Cloudflare Stand jetzt immer noch kräftig Investorengeld und ist weit davon entfernt, ein stabiles und solides Unternehmen zu sein. Kannst du deinen Kunden da garantieren, dass nie Schabernack mit den Daten getrieben wird?

 

[hula1499]

Cloudflare, IP Ranges blocken, ganze Länder blocken...

Viell. mal überlegen (trifft vermutlich auf 99% der Poster hier zu) vom 5 Euro / Monat Webspace mal ein Upgrade machen.

 

[lj-shadow]

Cloudflare, IP Ranges blocken, ganze Länder blocken...

Viell. mal überlegen (trifft vermutlich auf 99% der Poster hier zu) vom 5 Euro / Monat Webspace mal ein Upgrade machen.

Ganz so würde ich es nicht sehen. Ich kann mich zu den vermuteten 99% nicht zählen, aber:

NIEMAND, ausser mir, weiß, welchen Vertrag und welche Bedingungen ich mit dem Hoster habe.
Mit solchen Bots wird also auf MEINE Ressourcen zugegriffen und ICH entscheide WER (oder wer nicht) darauf zugreifen darf und was auch zulasse.
Wenn also irgendein Bot, von dem ich nicht weiß, welchen Mehrwert er mir oder Kunden bringt, geschweige denn, was er tut oder vor hat, dann sperr ich den eben aus!

Das geht schon los, wenn der Traffic begrenzt ist oder irgendwann wird und geht weiter mit der Sicherheit des Systems.

 

[nonorush]

Wie trage ich im Fail2ban Filter "plesk-apache-badbot" den im Screenshot angezeiten Bot nach. Der Bot "Gecko/20100001 macht bis zu 11 Abrufe die Sekunde bei mir.

 

[hula1499]

@lj-shadow

jo, natürlich - du darfst alles sperren was du willst - Mitbewerber wird es freuen

@nonorush
https://user-agents.net/rendering-engines/gecko

 

[lj-shadow]

Naja - übertreiben sollte man es nicht - so ist schon klar. Aber das böse zeugs kann schon weg