ebesucher.de Referer aussperren - Load Problem

[fulltilt]

Da gibts wohl wieder etwas neues ... nerviges

Code: Select all

ebesucher.de

Soll so eine Art Besuchertausch sein über eine Toolbar ...
Auf einem System hat das den apache in die Knie gezwungen.
Ein User hat sich wohl da angemeldet und verursacht dadurch heftig Load ...
In mehreren Foren habe ich gelesen das die Besucher z. g. Teil sogar gefakt sein sollen und tatsächlich habe ich in den Logs auch überwiegend IPs aud China entdeckt.

Ich habe in das betroffene Web nun eine .htaccess gelegt die diese Referer blockt.
Wenn jedoch mehere Kunden auf diese Idee kommen, könnte das ein massives Problem werden.

Habe apache2 mit modsecurity2 laufen ...
wie müsste nun eine SecRule aussehen die ich in die Useragents.conf einfüge um das zu blocken:

Code: Select all

GET / HTTP/1.1" 200 4345 "http://www.ebesucher.de/autotausch.php?id=xxxxx

ist das so richtig:

Code: Select all

SecRule HTTP_User-Agent  "^www.ebesucher.de"

[simcen]

Du willst HTTP_REFERER anstatt HTTP_User-Agent.
Und wenn man schon den Regex mit einem "^" beginnt, endet man diesen mit einem "$"

[fulltilt]

Du willst HTTP_REFERER anstatt HTTP_User-Agent.
Und wenn man schon den Regex mit einem "^" beginnt, endet man diesen mit einem "$"

O.K. Danke
ist es richtig so?

Code: Select all

SecRule HTTP_REFERER  "^www.ebesucher.de$"

[simcen]

Ich bin nicht sicher wie SecRule arbeitet, versuch es doch einfach.

[thorsten]

isotopp hatte da mal mind. zwei nette blogeinträge zu.