Neu Sprunghafte Zunahme von Visits bei JTL Shops

JTL_Fan

Aktives Mitglied
27. Mai 2019
91
10
Dein Bild ist nicht sehr aussagekräftig. Der htaccess-Schutz leitet jeden Request des Botnetzes weiterhin zum Webserver, der den dann mit einem 403 Response-Code beantwortet. Jeder Request des Bot-Netzes taucht also weiterhin in dem Apache-Log auf. Zur Kontrolle der Funktion musst Du in Deinem Apache-Log nachsehen, ob der Request mit einem 403-Response-Code beantwortet wurde. Das ist der Unterschied zu fail2ban. fail2ban blockiert schon oberhalb der Netztwerkkarte und lässt den Request gar nicht mehr zum Webserver durchkommen.
Es war tatsächlich das Problem mit der Reihenfolge in der htaccess. Der htaccess Code steht nun bei uns direkt nach

Code:
<IfModule mod_rewrite.c>
  RewriteEngine on

Jetzt funktioniert es
 

Stephs182

Sehr aktives Mitglied
21. Januar 2015
265
27
Luckau NL
Wir von zitro Hosting möchten Euch an auch an unseren Erkenntnissen teilhaben lassen, da wir bei uns zwischenzeitlich schon das Botnetz auf ca. 200.000 IP-Adressen identifizieren konnten.
Kann es sein, das die Chinesen dort die IPs genauso dynamisch beziehen wie wir hier in DE mit unseren einfachen DSL Anschlüssen? Einmal neuverbinden und du hast ne neue IP.

Also das dieses Botnetz nicht wirklich über eigene IPs verfügt?!
 

Stephs182

Sehr aktives Mitglied
21. Januar 2015
265
27
Luckau NL
Man muss natürlich auch sagen, dass diese Sperrerei auf der einen Seite gut und nützlich ist, aber wenn der Bot dann mal eben mit 700 - 1000 Bots gleichzeitig kommt, dann stöhnt der Server von ganz schön und geht in die Knie. (gerade gehabt). Dann läuft der RAM voll und dann geht da nix mehr.
Seit gestern abend greift die Regel bei mir auf den Servern deutlich besser. Auf dem mit dem großen Shop sind wir nun bei über 34.000 IPs die ausgesperrt wurden. Vorher hatte ich über die htaccess nicht ganz so umfangreich gesperrt und hatte nur 2000 IPs in den Sperrungen drin.
Der andere Server wo viele kleinere JTL-Shops laufen, der hat bisher nur 5700 IPs drin in der Sperre..

Cool wäre, wenn man diese IPs unter den Servern syncen könnte, das nicht jeder Server die IPs erkennen muss.
 

lj-shadow

Sehr aktives Mitglied
15. März 2013
466
47
Ich hab da grade was gefunden, was recht vielversprechend aussieht.
Allerdings ist's ad hoc nicht Plesk-fähig.
Vielleicht kann ich mit @css-umsetzung mal drüber sprechen... Ganz alleine trau ich mich da nicht ran
 

css-umsetzung

Offizieller Servicepartner
SPBanner
6. Juli 2011
8.593
2.672
Berlin
Firma
css-umsetzung
Vielleicht kann ich mit @css-umsetzung mal drüber sprechen... Ganz alleine trau ich mich da nicht ran
Ich.... :eek: ich kann gerne schauen aber es ist jetzt nicht so das ich in dem Bereich der mega Crack bin, mein Thema ist ja eher die PHP Geschichte.
Das was ich von Zitrohosting gelesen habe sieht schon sehr nach dem NextLevel der Server Verwaltung aus und er scheint ja nen Plan zu haben, vermutlich ist er für spezielle Serverhacks der kompetentere Partner.

Was mich nur etwas ärgert ist der Zustand das ich bei JTL Hosting Kunden in den Shops diese Probleme nicht sehe, @JTL hier aber die Füße still hält und keinerlei Informationen rausrückt wie sie es geschafft haben.
Ich gehe davon aus das Sie das nicht über Fail2Ban gelöst haben denn dann würde man den Anstieg der Zugriffe ja sehen, wenn auch nicht so extrem.
Mein Log Test zeigt dort auch keinen dieser Störenfriede an und zumindest den ersten Zugriff würde ich ja sehen.
 

zttom

Offizieller JTL-Partner
ZTBanner
13. Februar 2018
12
15
Overath
Cool wäre, wenn man diese IPs unter den Servern syncen könnte, das nicht jeder Server die IPs erkennen muss.

Das ist das Ding wo wir gerade dran arbeiten und Euch dran teilhaben werden:

Wir beabsichtigen nächste Woche einen Dienst bereitzustellen, wo Ihr die aktuell ca. 200.000 und stetig steigenden IP-Adressen aus dem Botnetz über eine RESTful-API kostenfrei laden könnt, um Euren fail2ban-filter zu trainieren. Eine Anbindung an fail2ban werden wir hier auch posten. Wenn Ihr Eure gefundenen IP-Adressen automatisch über fail2ban über unseren Dienst mit den anderen betroffenen teilen wollt, dann könnt Ihr über eine PM an mich einen Accesstoken erhalten. Accesstoken und Schnittstelle kommen dann vrstl. Ende der kommenden Woche.
 
  • Gefällt mir
Reaktionen: Stephs182

lj-shadow

Sehr aktives Mitglied
15. März 2013
466
47
Ich.... :eek: ich kann gerne schauen aber es ist jetzt nicht so das ich in dem Bereich der mega Crack bin, mein Thema ist ja eher die PHP Geschichte.
Das was ich von Zitrohosting gelesen habe sieht schon sehr nach dem NextLevel der Server Verwaltung aus und er scheint ja nen Plan zu haben, vermutlich ist er für spezielle Serverhacks der kompetentere Partner.

Dann warte ich ab, was da kommt.
 

bbfdesign

Offizieller Servicepartner
SPBanner
28. September 2013
438
117
Was mich nur etwas ärgert ist der Zustand das ich bei JTL Hosting Kunden in den Shops diese Probleme nicht sehe, @JTL hier aber die Füße still hält und keinerlei Informationen rausrückt wie sie es geschafft haben.
Ich gehe davon aus das Sie das nicht über Fail2Ban gelöst haben denn dann würde man den Anstieg der Zugriffe ja sehen, wenn auch nicht so extrem.
Mein Log Test zeigt dort auch keinen dieser Störenfriede an und zumindest den ersten Zugriff würde ich ja sehen.

Ich muss hier aber auch sagen, dass wir Kunden haben, bei denen es bisher keine Peaks gegeben hat und auf einmal treten bei denen auch die Zugriffe auf. Vielleicht hattest Du bisher "Glück" noch keinen Kunden zu haben, der bei JTL Hosting diese Auffälligkeiten hatte? Deswegen mal eine Frage in die Runde: Bei denen mit den Peaks - ist jemand dabei, der sein Hosting über JTL bezieht? Vielleicht muss man ja so fragen, wenn sich JTL dazu nicht konkret äußert?

BTW: Ich empfehle und arbeite seit etwa 20 Jahren (oh man, bin ich alt geworden...) zitro hosting.
 
Zuletzt bearbeitet:

razzio

Gut bekanntes Mitglied
4. Dezember 2012
125
14
Dresden
Wir hosten selber und haben (hatten ;) ) die Ausreißer auch. Wir nutzen Cloudflare und haben dort die ungebetenen Länder jetzt ausgesperrt. Das war für uns jetzt erstmal die schnellste und bequemste Lösung. Wir beobachten das weiterhin.
 

Anhänge

  • Screenshot(16).png
    Screenshot(16).png
    15,2 KB · Aufrufe: 16

sjk

Sehr aktives Mitglied
16. Januar 2019
612
271
Wir nutzen Cloudflare [...] erstmal die schnellste und bequemste Lösung
Mal ganz unabhängig von der DSGVO übergibt man damit erstmal schnell und bequem eine vollständige, unverschlüsselte Kopie seines Verkehrs (da Shop, schön mit Adresse, email, evtl. Telefon, Kaufbeträgen, Artikel etc pp) an ein Drittunternehmen. Das würde ich schon allein aus Rücksicht auf das Vertrauen meiner Kunden nicht machen wollen und führt alle Bemühungen hinsichtlich Cookies, Datensparsamkeit usw. ad absurdum.
Zudem verbrennt Cloudflare Stand jetzt immer noch kräftig Investorengeld und ist weit davon entfernt, ein stabiles und solides Unternehmen zu sein. Kannst du deinen Kunden da garantieren, dass nie Schabernack mit den Daten getrieben wird?
 
  • Gefällt mir
Reaktionen: hula1499

hula1499

Sehr aktives Mitglied
22. Juni 2011
5.401
1.325
Cloudflare, IP Ranges blocken, ganze Länder blocken...

Viell. mal überlegen (trifft vermutlich auf 99% der Poster hier zu) vom 5 Euro / Monat Webspace mal ein Upgrade machen.
 

lj-shadow

Sehr aktives Mitglied
15. März 2013
466
47
Cloudflare, IP Ranges blocken, ganze Länder blocken...

Viell. mal überlegen (trifft vermutlich auf 99% der Poster hier zu) vom 5 Euro / Monat Webspace mal ein Upgrade machen.

Ganz so würde ich es nicht sehen. Ich kann mich zu den vermuteten 99% nicht zählen, aber:

NIEMAND, ausser mir, weiß, welchen Vertrag und welche Bedingungen ich mit dem Hoster habe.
Mit solchen Bots wird also auf MEINE Ressourcen zugegriffen und ICH entscheide WER (oder wer nicht) darauf zugreifen darf und was auch zulasse.
Wenn also irgendein Bot, von dem ich nicht weiß, welchen Mehrwert er mir oder Kunden bringt, geschweige denn, was er tut oder vor hat, dann sperr ich den eben aus!

Das geht schon los, wenn der Traffic begrenzt ist oder irgendwann wird und geht weiter mit der Sicherheit des Systems.
 

nonorush

Gut bekanntes Mitglied
11. November 2010
498
25
Berlin
Wie trage ich im Fail2ban Filter "plesk-apache-badbot" den im Screenshot angezeiten Bot nach. Der Bot "Gecko/20100001 macht bis zu 11 Abrufe die Sekunde bei mir.
 

Anhänge

  • crawler.jpg
    crawler.jpg
    534,5 KB · Aufrufe: 30
Ähnliche Themen
Titel Forum Antworten Datum
Neu KI Kennzeichnung von Bildern Betrieb / Pflege von JTL-Shop 1
Die Suche von Stücklistenartikeln/Bundles funktioniert nicht Allgemeine Fragen zu JTL-Shop 0
Neu Update von 1.8.12.4 auf 2.0.5 - Kostenfreie Version - Registrierung erforderlich? User helfen Usern - Fragen zu JTL-Wawi 1
Wie übernehme ich Artikelnamen von JTL in den neuen Kaufland Niederlande-Verkaufskanal? JTL-Wawi 1.11 1
Neu JTL Shop Plugin - BD Automatisierter Widerruf (Von Händler für Händler - Schluss mit Mail-Chaos & Spam-Sorgen!) Plugins für JTL-Shop 0
Neu Installieren von Plugins schlägt fehl "Unable to authenticate using a password." Plugins für JTL-Shop 3
Neu "alte" Bankverbindung beim Duplizieren von älteren Aufträgen User helfen Usern - Fragen zu JTL-Wawi 3
nach Update von 5.3 auf 5.7 neue Position im Warenkorb "Gebühr" die auch in den Auftrag übernommen werden Einrichtung JTL-Shop5 2
Neu E-Rechnungen werden von DATEV nicht akzeptiert JTL-Wawi 2.0 1
In Diskussion Tool für Abrechnung von Fulfillment Dienstleistungen Arbeitsabläufe im Fulfillment Network 0
ändern von Servernamen nach Neuinstallation von SQL und Verbindung mit neuem Server in der Wawi JTL-Wawi 2.0 2
Neu JTL-Shop - Wechsel von Test zum Livebetrieb - was beachten ? Installation / Updates von JTL-Shop 2
Neu Unterschiedliche Abnahmeintervalle von Variationskombinationen in der Warenkorbmatrix Templates für JTL-Shop 0
Angebliche externe Aufträge "für Rechnungserstellung freigeben" und Rechnungen erstellen. Gibt es dazu eine akzeptable Erklärung von JTL? JTL-Wawi 1.11 1
Lohnt sich das Update von 1.11.6 auf 2.0.4 aktuell? JTL-Wawi 2.0 2
Neu Abrechnung / Auslieferung von Aufträgen mit Gutschriftverfahren Arbeitsabläufe in JTL-Wawi 3
Erfahrungswerte Update von 1.8.12.2 auf 1.11.10 JTL-Wawi 1.11 4
Import von Aufträgen via tXMLBestellImport Tabelle seit Update sehr träge/langsam JTL-Wawi 1.11 3
Neu Update von Modul DHL 3.0 aud 4.0 - Versandlabels lassen sich nicht erstellen JTL-ShippingLabels - Fehler und Bugs 17
Neu Umzug von sehr alter JTL Wawi Version auf neuen PC User helfen Usern - Fragen zu JTL-Wawi 3
Update von 1.10.15 auf 1.11.10 JTL-Wawi 1.11 11
Neu Custom Checkout - Conversion optimiert mit Speicherung von Standard-Versandart und Zahlungsart am Kunden JTL-Shop - Ideen, Lob und Kritik 1
Neu ❓JTL Wawi Update von 1.8 auf ??? User helfen Usern - Fragen zu JTL-Wawi 1
In Diskussion Doppelte Aufträge von Kunden filtern bzw. markieren JTL-Workflows - Ideen, Lob und Kritik 5
Neu Probleme beim Erstellen von Artikeln aus Angeboten von eBay User helfen Usern - Fragen zu JTL-Wawi 1
Update von 1.10.10.3 auf aktuellere Versionen JTL-Wawi 1.10 0
Fehler bei Bearbeitung von Attributen via HTML-Editor JTL-Wawi 2.0 3
Neu Versandart von Shopify zu JTL Wawi & Sendungsnummern von Wawi zu Shopify!? Shopify-Connector 0
Neu Update von 1.8.12.4 auf 1.11 User helfen Usern - Fragen zu JTL-Wawi 0
Worker bleibt beim empfangen/senden von Daten hängen JTL-Wawi 2.0 8
Absturz bei Hinzufügen von Artikelbildern JTL-Wawi 2.0 3
Update auf Shop 5.5.0 von 5.4.1 ist der Shop nicht mehr erreichbar Upgrade JTL-Shop4 auf JTL-Shop5 4
Neu Lieferadresse in PayPal-Transaktion weicht von der in der Wawi ab Plugins für JTL-Shop 0
Neu Streichpreise oder Rabatte für Staffelpreise von einem Artikel einrichten? Wie am Besten? JTL-Wawi 1.6 0
Neu Fehler beim Update der Datenbank von 1.11.7 auf 2.0.1 JTL-Wawi - Fehler und Bugs 7
Direktupdate von JTL Wawi 1.10.11.0 auf 2.0 möglich? JTL-Wawi 2.0 6
Neu [Tool] FloTax — eBay + Billbee → DATEV/Lexoffice | §25a | OSS | Reverse Charge | von JTL-Partner Dienstleistung, Jobs und Ähnliches 0

Ähnliche Themen