Neu Sprunghafte Zunahme von Visits bei JTL Shops

[hula1499]

Naja - übertreiben sollte man es nicht - so ist schon klar. Aber das böse zeugs kann schon weg

Gekennzeichnete Bots via robots/htaccess/server direkt - absolut und 100%ig, der richtig böse Rest kommt eh anders und intelligenter.
Aber wirklich, jeder wie er möchte und meint, ist ja alles gut.

 

[lj-shadow]

Mein Post war auch auf Bots bezogen...
So ein Server hat aber auch ganz andere Angriffspotenziale.
Wer weiß, was da vorbereitet wird oder schon läuft.
Von daher alle BEKANNTEN bösen Quellen zu machen ist schon nicht verkehrt.

 

[razzio]

Ganz so würde ich es nicht sehen. Ich kann mich zu den vermuteten 99% nicht zählen, aber:

NIEMAND, ausser mir, weiß, welchen Vertrag und welche Bedingungen ich mit dem Hoster habe.
Mit solchen Bots wird also auf MEINE Ressourcen zugegriffen und ICH entscheide WER (oder wer nicht) darauf zugreifen darf und was auch zulasse.
Wenn also irgendein Bot, von dem ich nicht weiß, welchen Mehrwert er mir oder Kunden bringt, geschweige denn, was er tut oder vor hat, dann sperr ich den eben aus!

Das geht schon los, wenn der Traffic begrenzt ist oder irgendwann wird und geht weiter mit der Sicherheit des Systems.

Abgesehen davon sind es sinnlose Ressourcen die da verbrannt werden. Warum soll ich 10.000e Abfragen erlauben wenn ich nicht einen Kunden in China habe?

 

[nonorush]

@hula1499

meine Frage war wie man den "gecko" Crawler jetzt im Fail2Ban Filter zuträgt also die genaue Schreibweise?

 

[razzio]

Cloudflare, IP Ranges blocken, ganze Länder blocken...

Viell. mal überlegen (trifft vermutlich auf 99% der Poster hier zu) vom 5 Euro / Monat Webspace mal ein Upgrade machen.

Es ist offenbar nicht jeder so unendlich weise wie Du. Und offenbar sind auch 99% der Autoren hier nicht an derartigen Ratschlägen interessiert. Ich schlage vor Du bleibst konstruktiv.

 

[razzio]

Mal ganz unabhängig von der DSGVO übergibt man damit erstmal schnell und bequem eine vollständige, unverschlüsselte Kopie seines Verkehrs (da Shop, schön mit Adresse, email, evtl. Telefon, Kaufbeträgen, Artikel etc pp) an ein Drittunternehmen. Das würde ich schon allein aus Rücksicht auf das Vertrauen meiner Kunden nicht machen wollen und führt alle Bemühungen hinsichtlich Cookies, Datensparsamkeit usw. ad absurdum.
Zudem verbrennt Cloudflare Stand jetzt immer noch kräftig Investorengeld und ist weit davon entfernt, ein stabiles und solides Unternehmen zu sein. Kannst du deinen Kunden da garantieren, dass nie Schabernack mit den Daten getrieben wird?

Ich habe auch nicht gesagt dass es die endgültige und ultimative Lösung darstellt. Für uns war es die schnellste und effektivste Lösung für den Moment. Betrachtet man es so streng wie Du, dann müssten ja alle Netzknotenpunkte in Deutschland stehen, niemand dürfte Google, ebay, PayPal oder Amazon nutzen...
Ich weiß, es ist besser solche Dinge zu vermeiden. Wir arbeiten auch daran das besser zu machen.

 

[lj-shadow]

meine Frage war wie man den "gecko" Crawler jetzt im Fail2Ban Filter zuträgt also die genaue Schreibweise?

Der "GECKO" ist ein Legitimer Browser bzw. eine Rendering-Engine IM Browser Firefox, sofern sich der "Bot" nicht dahinter versteckt.
Du solltest es tunlichst nicht tun, den zu sperren.

Tust du es, war's das mit Firefox-Nutzern auf Deiner Webseite

 

[bbfdesign]

Abgesehen davon sind es sinnlose Ressourcen die da verbrannt werden. Warum soll ich 10.000e Abfragen erlauben wenn ich nicht einen Kunden in China habe?

Vorallem wird der eine mögliche chinesische Kunde bei Dir nicht kaufen können, weil Du nicht nach China lieferst oder der Betrag so gering sein dürfte, dass sich die Probleme und den daraus resultierenden Kaufabbrüchen (langsame Seite, etc.) nicht kompensieren lassen würden. Davon abgesehen, solange man in JTL kein 100%iges UTF8 abbilden kann, ist es eh fraglich, ob man dort eine Zielgruppe aufbauen kann.

 

[nonorush]

@lj-shadow ok das wäre doof. Das der meine Seite in einer Sekunde 11 mal aufruft ist dann wohl normal?

 

[lj-shadow]

Guck mal genau hin.
Der Ruft die Seite ab. Hat der das HTML, zieht der die restlichen Inhalte wie zB. CSS- und Bilddateien.
Das ist ein ganz normaler "Surfer".
Wenn Deine Seite KOMPLETT innerhalb von 1 Sek. geladen sein soll und du 100 Files dazu auslieferst, dann hast Du auch 100 Zugriffe in der Sekunde.

Das ist normal.

 

[hula1499]

@hula1499

meine Frage war wie man den "gecko" Crawler jetzt im Fail2Ban Filter zuträgt also die genaue Schreibweise?

Das ist genau der Grund, warum ich der Meinung bin, das solche Beiträge - für viele User - einfach nur schlecht sind und missverstanden werden kann.
Einfach schnell irgendwas sperren und .... alles ist super. Ohne jeglicher Ahnung, was dadurch passieren kann.

Wie es @lj-shadow richtig anmerkt, kann dies (muss nicht) ein normaler User sein, der eben deine Seite durchgeht und dafür halt - je nach ressourcen, bilder, css, js - laden muss.

@razzio
Wenn du den konstruktiven Beitrag dazu nicht siehst, vielleicht einfach nochmals lesen.
Und falls das nicht ausreicht und du einem JTL Mod mehr Vertrauen schenkst, den Beitrag hier nachlesen von wegen "händisch sperren, bei Vorkomnissen etc".
Mir persönlich ist es vollkommen egal, ob ihr ganze IP Ranges, Länder oder gar Kontnente sperrt, aber macht es mit bedacht und auch mit dem notwendigen Verständnis und Kenntnis.

 

[css-umsetzung]

Ich hab hier nen neuen Rekord

 

[lj-shadow]

Ach Du Sch...
btw... Die Range kommt bei mit gar nicht vor.

Da bin ich mit meinen 7250 ja noch Mickrig

 

[css-umsetzung]

ich muss da echt mal einige IP's checken nicht das der da doch zu viel Blockt, da bekomme ich ja echt Panik
aber ich habe das bei dem gestern eingebaut weil der komplette Server mit zwei laufenden Shops platt war und sich kaum noch etwas bewegte.

 

[css-umsetzung]

Ach was ich noch sagen wollte ich habe hier das laut Vorgabe von Zitro angepasst gehabt

 

[lj-shadow]

Also am aktivsten aktuell ist bei mir:

114.119.128.0/18, wobei der Block nicht ganz voll ist. Bei 114.119.167.X ist ende.
Der Block allein macht 3/4 der gesperrten etwas über mittlerweile 7300 IPs aus

Dann gehts weiter mit
159.138.144.0/20

Dann ist im 159.138er Block noch kleinkram

 

[zttom]

ich muss da echt mal einige IP's checken nicht das der da doch zu viel Blockt, da bekomme ich ja echt Panik
aber ich habe das bei dem gestern eingebaut weil der komplette Server mit zwei laufenden Shops platt war und sich kaum noch etwas bewegte.

Keine Panik, das Botnetz ist so gebaut, dass es merkt, wenn es blockiert wird und es dann mit einer frischen IP-Adresse reinkommt (daher auch die Empfehlung zu dem fail2ban-Schutz noch den htaccess-Schutz zu implementieren). Wir haben zwischenzeitlich herausgefunden, dass es sich um chinesische und japanische "verseuchte" Browser handelt. Die Teilnehmer des Botnetzes wissen daher nichts über Ihr Glück.

Ach was ich noch sagen wollte ich habe hier das laut Vorgabe von Zitro angepasst gehabt

Die Anpassung bewirkt nur, dass ausschliesslich der "User Agent" überprüft wird und nicht die URI. Wir hatten ein Problem, dass wir einen Kunden hatten, der zufälligerweise ein Produkt angeboten hat, welches einen Substring unserer "Badbots"-Liste enthalten hat.

 

[Qwartz]

Wäre ja ein TOP Launch... aber das denk ich eher nicht
Allerdings scheint mir das anhand der Logs vom Server auf welchem verschiedene Seiten laufen (Wordpress, JTL, XTC ...) , nicht gezielt gegeg JTL zu gehen.
Die Zugriffe sind in allen Logs ähnlich.

 

[nonorush]

Ich habe gestern mal auf Plesk Obsidian geupdatet. Es kann nartürlich Zufall sein aber die Visits im Shop sind seit dem völlig normal. Vieleicht ist es das was JTL bei Ihrem eigene Hosting anders macht.

 

[bbfdesign]

Ich habe gestern mal auf Plesk Obsidian geupdatet. Es kann nartürlich Zufall sein aber die Visits im Shop sind seit dem völlig normal. Vieleicht ist es das was JTL bei Ihrem eigene Hosting anders macht.

Das Problem ist unabhängig vom Hoster und der eingesetzten Verwaltungssoftware wie z.B. Plesk. Es kann bei Dir natürlich Zufall sein oder Plesk Obsidian hat erweiterte Filterregeln, wie beispielsweise die, die hier im Beitrag schon besprochen wurden.