SPAM IP´s sperren

Apache, Lighttpd, nginx, Cherokee
Foxgerman
Posts: 25
Joined: 2013-02-06 22:30
Location: Bremen

SPAM IP´s sperren

Post by Foxgerman » 2013-02-06 23:06

Mal ne Frage an andere die durch SPAM geplagt werden. Wie sperrt ihr euch wenn bekannte IP´s vorliegen? Ich mache dies derzeit durch gezielte Einträge in der jeweiligen .htaccess (deny from xx.xx.xx.) der betreffenden Domain, würde es aber lieber für den Server insgesamt vornehmen und mir damit die einzelnen Bearbeitungen der betreffenden Dateien sparen.

Hat jemand ein paar Tips dazu wie man das am besten regeln kann?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11133
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SPAM IP´s sperren

Post by Joe User » 2013-02-06 23:22

IPs sperren ist sinnlos, da die Spammer im Regelfall Botnetze mieten und diese Botnetze überwiegend aus privaten PCs/Smartphones bestehen, welche bei jeder Einwahl oder nach jeder Zwangstrennung eine neue IP haben und weiterspammen.

Der richtige Weg ist, die App entsprechend so zu gestalten, dass kein oder nur wenig Spam durchkommt. Zum Beispiel oo ähnlich wie es bei der Registrierung hier im Forum ist.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Foxgerman
Posts: 25
Joined: 2013-02-06 22:30
Location: Bremen

Re: SPAM IP´s sperren

Post by Foxgerman » 2013-02-07 00:00

Das hätte ich auch am liebsten. leider scheint es ein Exploit für die verwendete software zu geben so das nur wenige Möglichkeiten bleiben. Selbst eine Sicherheitsfrage wird hier noch umgangen. Ich kann das Problem zwar über Regeln in der Mitgliedschaft klären, habe dann aber immer noch die "Leichen" im System. Da ich in der Regel mehrere Instanzen auf dem Server habe die den gleichen Core verwenden fragte ich deshalb nach einer allgemeineren Lösung.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11133
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SPAM IP´s sperren

Post by Joe User » 2013-02-07 00:06

Wie schauen denn die Logzeilen im access.log aus, wenn sich ein Spammer "registriert"?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Foxgerman
Posts: 25
Joined: 2013-02-06 22:30
Location: Bremen

Re: SPAM IP´s sperren

Post by Foxgerman » 2013-02-07 00:19

Dort steht nur

Code: Select all

5.254.140.236 - - [06/Feb/2013:16:59:47 +0100] "GET /AnastasiaL/info/ HTTP/1.1" 403 488 "http://xxx.domain.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322; PeoplePal 6.2)" 

User avatar
Joe User
Project Manager
Project Manager
Posts: 11133
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SPAM IP´s sperren

Post by Joe User » 2013-02-07 00:50

Die 403 besagt, dass der Zugriff verweigert wurde.
Wenn an der Stelle eine 200 steht, dann wirds erst interessant.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Foxgerman
Posts: 25
Joined: 2013-02-06 22:30
Location: Bremen

Re: SPAM IP´s sperren

Post by Foxgerman » 2013-02-07 00:52

Ok, ich werde das hier posten sobald die infos wieder vorliegen. 403 gab es wohl weil ich die Ip bereits gesperrt habe.
Last edited by Foxgerman on 2013-02-07 00:53, edited 1 time in total.

ddm3ve
Moderator
Moderator
Posts: 1175
Joined: 2011-07-04 10:56

Re: SPAM IP´s sperren

Post by ddm3ve » 2013-02-09 22:13

Mit IDS Systemen könnte man versuchen diese Probleme ein zu fangen.
Ich rate jedoch davon ab, da man sich u.U. für DOS Attacken angreifbar macht.
Also im speziellen wäre wohl Fail2ban ein veruch Wert aber mit vorsicht zu geniessen.
In Deinem konkreten Fall würde ich auf mod_security und für Deinen Fall passende Regeln achten.

Alternativ könntest Du natürlich die IPs sammeln und in iptables einpflegen. Sofern sich Angriffe auf bestimmte Provider einschränken / eingrenzen lassen. Das entspricht aber leider dem, was Joe User schon sagte, einer nicht ausreichenden und guten Lösung.
Die Absicherung der Webanwendungen, Updates, Härtung des Systemes etc. ist hier viel Wirkungsvoller.

Wir droppen nur noch IPS, von welchen ein grosser Traffic aus geht und man es dauerhaft auf einen Verursacher / Netzbereich zurückführen kann.
Quasi "Chinessennetze" oder die lieben Rumänen Netze.

Da gibt es durchaus mancher Erfahrungswert.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

Foxgerman
Posts: 25
Joined: 2013-02-06 22:30
Location: Bremen

Re: SPAM IP´s sperren

Post by Foxgerman » 2013-05-02 14:13

Ich muss hier noch mal nachgreifen und die Frage erneut zum Vorschein bringen weil ich hiermit noch nicht weiter bin.

Auf dem Server läuft CentOs6.4 mit Plesk. Wenn ich nun einen Eintrag in die httpd.conf vornehme unter directory und hier deny from hostname eingebe zeigt dies keine Wirkung.
Auch würde ich gerne generell das Land China blockieren weil von hier ein Großteil des Spams kommt.
Kann mir jemand sagen wie ich das serverweit lösen kann? Ich habe mehrere Domains mit gleicher Software laufen und möchte das Problem für alle Installationen lösen und nicht für jede einzelne per htaccess.

AWOHille
Posts: 271
Joined: 2011-09-05 09:00

Re: SPAM IP´s sperren

Post by AWOHille » 2013-05-02 15:55


User avatar
Joe User
Project Manager
Project Manager
Posts: 11133
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SPAM IP´s sperren

Post by Joe User » 2013-05-02 17:31

Du solltest konsequenterweise mindestens die Top10 der "Spam-Länder" blocken:
http://nakedsecurity.sophos.com/2013/03 ... rty-dozen/
Ja, dazu gehört auch Deutschland mit weit über 30 mal soviel verschickten Spammails/Einwohner als China...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Foxgerman
Posts: 25
Joined: 2013-02-06 22:30
Location: Bremen

Re: SPAM IP´s sperren

Post by Foxgerman » 2013-05-02 19:18

Kann jemand die Wirksamkeit von dem Script in dem oben genannten Artikel bestätigen? Mein Wissen reicht dazu nicht aus, bevor ich das über den Server jage häte ich gerne eine Empfehlung von jemanden der mehr davon versteht.
Wäre schön wenn sich jemand dazu äußern könnte.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11133
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SPAM IP´s sperren

Post by Joe User » 2013-05-02 19:33

Nach kurzem Überfliegen, würde ich sagen: Ja, es sollte funktionieren, sofern Dein IPTables die nötigen Module geladen hat.
Die Performance dürfte mittelmässig sein und die Fehlerquote auf Grund des Blockens ganzer /8er-Netze hoch bis sehr hoch.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Foxgerman
Posts: 25
Joined: 2013-02-06 22:30
Location: Bremen

Re: SPAM IP´s sperren

Post by Foxgerman » 2013-05-02 20:00

Danke fürs drüber schauen. Wenn jemand noch eine andere Lösung vorschlagen kann nehme ich das dankend an.

Mit wäre eine Lösung zum hostname blocken eigentlich lieber. Kann mir da jemand einen guten Weg empfehlen?

Gerade noch gefunden: https://www.digitalocean.com/community/ ... n-centos-6
Meinungen dazu?
Last edited by Foxgerman on 2013-05-02 20:08, edited 1 time in total.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11133
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SPAM IP´s sperren

Post by Joe User » 2013-05-02 20:17

Wie wäre es mit GeoIP von Maxmind?
Ist leicht implementiert und relativ ressourcenschonend.
Nachteil: In der kostenlosen Version nicht ausreichend verlässlich, aber verlässlicher als obige IPTables-Lösung.
Vorteil: In der kostenpflichtigen Version ausreichend verlässlich und nicht übermässig teuer.

https://www.maxmind.com/en/country
http://dev.maxmind.com/geoip/legacy/mod_geoip2
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

AWOHille
Posts: 271
Joined: 2011-09-05 09:00

Re: SPAM IP´s sperren

Post by AWOHille » 2013-05-03 13:36

Gibt es eigentlich ne Möglichkeit, die GeoIP Variante von Maxmind in Postfix einzubinden?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11133
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SPAM IP´s sperren

Post by Joe User » 2013-05-03 14:24

Ja, indem man sich einen passenden policy-Server schreibt und diesen einbindet.

Ohne jegliche Gewähr und ausdrücklich nicht von mir empfohlen, da ich das Teil weder kenne, noch jemals davon gehört habe:
http://www.kutukupret.com/2011/05/29/po ... ejections/

Was ich eher empfehlen kann, der geoip-patch für policyd-weight, wobei der recht alt ist und eventuell angepasst werden muss:
http://sourceforge.net/support/tracker.php?aid=3124127
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

AWOHille
Posts: 271
Joined: 2011-09-05 09:00

Re: SPAM IP´s sperren

Post by AWOHille » 2013-06-12 16:46

Joe User wrote:Was ich eher empfehlen kann, der geoip-patch für policyd-weight, wobei der recht alt ist und eventuell angepasst werden muss:
http://sourceforge.net/support/tracker.php?aid=3124127


Ich möchte das Thema noch einmal aufgreifen. Ich habe mir den Patch mal angeschaut bzw. würde den mal testen wollen. Meine Frage, wie muß ich den einbinden in policyd-weight?