Ich lagere das mal aus, weil es hat weniger mit PHP zu tun.
Wir bieten einen Online-Service an bei dem sich User bei uns registrieren können und wenn ihnen der Dienst gefällt ihn buchen können.
Somit benötigen wir ein Loginsystem, mit möglichst wenig Fehlanmeldungen und Loginversuchen seitens Bots/ScriptKiddies.
Vermutlich hat der Vorbesitzer der Domain auch ein Login benötigt und dieser Login scheint in irgend einer Liste zu sein, jedenfalls haben wir auf www.domain.de:80/platform/login sehr viele Anfragen.
Diese liegen zwischen wenigen Minuten bis einmalig. Die Penetranten sind vorrangig Server-IPs, die einmaligen sind vorrangig ISPs.
Und weil mich dieser Traffic stört, hatte ich angefangen diese per Hand zu blockieren. Es hörte aber nicht auf, somit habe ich dies automatisiert.
Am Anfang hab eich diese auf unser SSL-Login umgeleitet, war sinnlos das keine User.
( hier finde ich erstaunlich das sich diese URL über viele Jahre noch immer so stark abgefragt wird )
Des weiteren gibt es von diversen IPs und Subnetzen, Penetrationsabfragen über alle genutzten Domains. Hier gibt es jetzt ach eine Negativliste, welche zur automatischen Sperrung führt.
Das schützt natürlich nur vor Traffic, aber stört/verzögert auch ein wenig beim Durchtesten was auf dem Server installiert bzw. genutzt wird.
Bis vor einiger Zeit konnte man mit Hiddenfeldern und ein wenig Javascript zwischen Mensch ( mit Javascript ) und curl-Bots problemlos unterscheiden.
Das hat der HeadlessChrome geändert, weil diesen kein User wegen der fehlenden GUI nutzen wird, kann man diesen Problemlos blocken.
Jedenfalls ist die Anzahl der täglichen 404 Statuscodes enorm zurück gegangen und wieder übersichtlich, auch Javascript-Fehlermeldungen sind selten geworden und die Anzahl der Registrierungen wieder auf einem normalem Niveau.
Somit gibt es weniger zu begutachten und man hat wieder mehr Zeit für Weiterentwicklungen.
Bei einem Hacker für Anfängerkurs hatte das vorgehen von ScriptKiddies kennen gelernt, der CCC hat auch schon mehrere male erläutert, wie man ein System hackt.
Dieses zeitnahe sperren von IPs, verzögert diese Aktivitäten enorm.
Aber wenn man Lücken hat, reicht das Verzögern nicht, man muß diese schließen.
Nebenbei ist es interessant, was alles gesucht wird, man kann also auch lernen was andere so falsch machen.
Denn irgendwann muß es ja mal geklappt haben und nicht nur bei einem Server.
P.S. Beim 38C3 gab es einen Vortrag zu einem FakeShopsystem, dieses hatte sein Git-Repository in der DocumentRoot, somit konnte man es ohne Passwort durchsuchen und natürlich enthielt es auch die Zugangsdaten für die Datenbank.
Zitat von tomBuilder
Beitrag anzeigen
Somit benötigen wir ein Loginsystem, mit möglichst wenig Fehlanmeldungen und Loginversuchen seitens Bots/ScriptKiddies.
Vermutlich hat der Vorbesitzer der Domain auch ein Login benötigt und dieser Login scheint in irgend einer Liste zu sein, jedenfalls haben wir auf www.domain.de:80/platform/login sehr viele Anfragen.
Diese liegen zwischen wenigen Minuten bis einmalig. Die Penetranten sind vorrangig Server-IPs, die einmaligen sind vorrangig ISPs.
Und weil mich dieser Traffic stört, hatte ich angefangen diese per Hand zu blockieren. Es hörte aber nicht auf, somit habe ich dies automatisiert.
Am Anfang hab eich diese auf unser SSL-Login umgeleitet, war sinnlos das keine User.
( hier finde ich erstaunlich das sich diese URL über viele Jahre noch immer so stark abgefragt wird )
Des weiteren gibt es von diversen IPs und Subnetzen, Penetrationsabfragen über alle genutzten Domains. Hier gibt es jetzt ach eine Negativliste, welche zur automatischen Sperrung führt.
Das schützt natürlich nur vor Traffic, aber stört/verzögert auch ein wenig beim Durchtesten was auf dem Server installiert bzw. genutzt wird.
Bis vor einiger Zeit konnte man mit Hiddenfeldern und ein wenig Javascript zwischen Mensch ( mit Javascript ) und curl-Bots problemlos unterscheiden.
Das hat der HeadlessChrome geändert, weil diesen kein User wegen der fehlenden GUI nutzen wird, kann man diesen Problemlos blocken.
Jedenfalls ist die Anzahl der täglichen 404 Statuscodes enorm zurück gegangen und wieder übersichtlich, auch Javascript-Fehlermeldungen sind selten geworden und die Anzahl der Registrierungen wieder auf einem normalem Niveau.
Somit gibt es weniger zu begutachten und man hat wieder mehr Zeit für Weiterentwicklungen.
Bei einem Hacker für Anfängerkurs hatte das vorgehen von ScriptKiddies kennen gelernt, der CCC hat auch schon mehrere male erläutert, wie man ein System hackt.
Dieses zeitnahe sperren von IPs, verzögert diese Aktivitäten enorm.
Aber wenn man Lücken hat, reicht das Verzögern nicht, man muß diese schließen.
Nebenbei ist es interessant, was alles gesucht wird, man kann also auch lernen was andere so falsch machen.
Denn irgendwann muß es ja mal geklappt haben und nicht nur bei einem Server.
P.S. Beim 38C3 gab es einen Vortrag zu einem FakeShopsystem, dieses hatte sein Git-Repository in der DocumentRoot, somit konnte man es ohne Passwort durchsuchen und natürlich enthielt es auch die Zugangsdaten für die Datenbank.
Kommentar