RootForum Community

Mal ne Frage an andere die durch SPAM geplagt werden. Wie sperrt ihr euch wenn bekannte IP´s vorliegen? Ich mache dies derzeit durch gezielte Einträge in der jeweiligen .htaccess (deny from xx.xx.xx.) der betreffenden Domain, würde es aber lieber für den Server insgesamt vornehmen und mir damit die einzelnen Bearbeitungen der betreffenden Dateien sparen.

Hat jemand ein paar Tips dazu wie man das am besten regeln kann?

IPs sperren ist sinnlos, da die Spammer im Regelfall Botnetze mieten und diese Botnetze überwiegend aus privaten PCs/Smartphones bestehen, welche bei jeder Einwahl oder nach jeder Zwangstrennung eine neue IP haben und weiterspammen.

Der richtige Weg ist, die App entsprechend so zu gestalten, dass kein oder nur wenig Spam durchkommt. Zum Beispiel oo ähnlich wie es bei der Registrierung hier im Forum ist.

Das hätte ich auch am liebsten. leider scheint es ein Exploit für die verwendete software zu geben so das nur wenige Möglichkeiten bleiben. Selbst eine Sicherheitsfrage wird hier noch umgangen. Ich kann das Problem zwar über Regeln in der Mitgliedschaft klären, habe dann aber immer noch die "Leichen" im System. Da ich in der Regel mehrere Instanzen auf dem Server habe die den gleichen Core verwenden fragte ich deshalb nach einer allgemeineren Lösung.

Wie schauen denn die Logzeilen im access.log aus, wenn sich ein Spammer "registriert"?

Dort steht nur

Die 403 besagt, dass der Zugriff verweigert wurde.
Wenn an der Stelle eine 200 steht, dann wirds erst interessant.

Ok, ich werde das hier posten sobald die infos wieder vorliegen. 403 gab es wohl weil ich die Ip bereits gesperrt habe.

Mit IDS Systemen könnte man versuchen diese Probleme ein zu fangen.
Ich rate jedoch davon ab, da man sich u.U. für DOS Attacken angreifbar macht.
Also im speziellen wäre wohl Fail2ban ein veruch Wert aber mit vorsicht zu geniessen.
In Deinem konkreten Fall würde ich auf mod_security und für Deinen Fall passende Regeln achten.

Alternativ könntest Du natürlich die IPs sammeln und in iptables einpflegen. Sofern sich Angriffe auf bestimmte Provider einschränken / eingrenzen lassen. Das entspricht aber leider dem, was Joe User schon sagte, einer nicht ausreichenden und guten Lösung.
Die Absicherung der Webanwendungen, Updates, Härtung des Systemes etc. ist hier viel Wirkungsvoller.

Wir droppen nur noch IPS, von welchen ein grosser Traffic aus geht und man es dauerhaft auf einen Verursacher / Netzbereich zurückführen kann.
Quasi "Chinessennetze" oder die lieben Rumänen Netze.

Da gibt es durchaus mancher Erfahrungswert.

Ich muss hier noch mal nachgreifen und die Frage erneut zum Vorschein bringen weil ich hiermit noch nicht weiter bin.

Auf dem Server läuft CentOs6.4 mit Plesk. Wenn ich nun einen Eintrag in die httpd.conf vornehme unter directory und hier deny from hostname eingebe zeigt dies keine Wirkung.
Auch würde ich gerne generell das Land China blockieren weil von hier ein Großteil des Spams kommt.
Kann mir jemand sagen wie ich das serverweit lösen kann? Ich habe mehrere Domains mit gleicher Software laufen und möchte das Problem für alle Installationen lösen und nicht für jede einzelne per htaccess.

z.B. per iptables. Schau mal hier

http://blog-speedy.de/iptables-lander-b ... ussperren/

Du solltest konsequenterweise mindestens die Top10 der "Spam-Länder" blocken:
http://nakedsecurity.sophos.com/2013/03 ... rty-dozen/
Ja, dazu gehört auch Deutschland mit weit über 30 mal soviel verschickten Spammails/Einwohner als China...

Kann jemand die Wirksamkeit von dem Script in dem oben genannten Artikel bestätigen? Mein Wissen reicht dazu nicht aus, bevor ich das über den Server jage häte ich gerne eine Empfehlung von jemanden der mehr davon versteht.
Wäre schön wenn sich jemand dazu äußern könnte.

Nach kurzem Überfliegen, würde ich sagen: Ja, es sollte funktionieren, sofern Dein IPTables die nötigen Module geladen hat.
Die Performance dürfte mittelmässig sein und die Fehlerquote auf Grund des Blockens ganzer /8er-Netze hoch bis sehr hoch.

Danke fürs drüber schauen. Wenn jemand noch eine andere Lösung vorschlagen kann nehme ich das dankend an.

Mit wäre eine Lösung zum hostname blocken eigentlich lieber. Kann mir da jemand einen guten Weg empfehlen?

Gerade noch gefunden: https://www.digitalocean.com/community/ ... n-centos-6
Meinungen dazu?

Wie wäre es mit GeoIP von Maxmind?
Ist leicht implementiert und relativ ressourcenschonend.
Nachteil: In der kostenlosen Version nicht ausreichend verlässlich, aber verlässlicher als obige IPTables-Lösung.
Vorteil: In der kostenpflichtigen Version ausreichend verlässlich und nicht übermässig teuer.

https://www.maxmind.com/en/country
http://dev.maxmind.com/geoip/legacy/mod_geoip2

Gibt es eigentlich ne Möglichkeit, die GeoIP Variante von Maxmind in Postfix einzubinden?

Ja, indem man sich einen passenden policy-Server schreibt und diesen einbindet.

Ohne jegliche Gewähr und ausdrücklich nicht von mir empfohlen, da ich das Teil weder kenne, noch jemals davon gehört habe:
http://www.kutukupret.com/2011/05/29/po ... ejections/

Was ich eher empfehlen kann, der geoip-patch für policyd-weight, wobei der recht alt ist und eventuell angepasst werden muss:
http://sourceforge.net/support/tracker.php?aid=3124127

Joe User wrote: Was ich eher empfehlen kann, der geoip-patch für policyd-weight, wobei der recht alt ist und eventuell angepasst werden muss:
http://sourceforge.net/support/tracker.php?aid=3124127

Ich möchte das Thema noch einmal aufgreifen. Ich habe mir den Patch mal angeschaut bzw. würde den mal testen wollen. Meine Frage, wie muß ich den einbinden in policyd-weight?