Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Hacker-IP-Blackliste

Schützen Sie Ihren Server vor Hackern in dem Sie bekannte IPs von Attackern sperren

 

                         Download hier

gesperrt?

Prüfen Sie hier, ob Ihre IP bereits negativ gelistet ist. Ihre IP können Sie auch von der Blackliste entsperren!

                        Daten-Abfrage hier

Sponsoren:

möchten Sie unser Projekt unterstützen? Sie helfen mit einer kleinen Spende:

AhrefsBot so intensiv, wie DDoS-Attacken

Veröffentlicht am 23.04.2018

Die letzten Tage sind wir darüber gefallen, daß ein weiterer BadBot sein Unwesen treibt! So scannt dieser im Sekunden-Takt ohne ausdrückliche Genehmigung Webseiten! Bei uns auf nur einer einzelnen Domain mehrere tausend mal und wir haben diesen plötzlich auf diversen Shared-Servern gefunden, wo dieser ebenfalls sein Unwesen treibt. Er ignoriert ebenfalls ...

Blockings. Dieser Bot setzt nach einem Blocking sofort unter einer anderen IP fort und verwendet die geblockten IPs dann später erneut! So konnten wir innerhalb von wenigen Stunden 470 IPs von einem Netzprovider ASN (OVH AS16276) sowie Zugriffe auch von weiteren IPs fest stellen, die der AhrefsBot verwendet! 

Ahrefs macht für den AhrefsBot im Twitter Werbung, wie mit guten Suchwörtern oder gestohlenen Suchwörtern den eigenen SEO-Rank erhöhen! Aha, es geht also in irgendeiner Weise schon mal um Diebstahl! Man scannt tausende von Webseiten auf Kosten der Server-Betreiber, wo diese Seiten laufen und zieht die Leistung, sofern keine Techniken dies verhindern, massiv herunter und anschließend verkauft man diese Ergebnisse auf der eigenen Seite und daß gar nicht so günstig! 

Wir konnten bereits in der Vergangenheit nicht selten fest stellen, daß Seiten, die massiv von solchen Bots untersucht wurden, dann später für Angriffe missbraucht wurden (von anderen Bots und Hacker-Scripten)! Sie müssen sich dabei vorstellen, daß diese Bots alles und allem an Links folgen und diese Ergebnisse verfügbar halten, was Sie unter Google nie finden würden! So lassen sich diese angeblichen SEO-Tools leicht dazu verwenden, Abfragen zu starten, die just und bewußt auf Schwachstellen hinweisen, wie z.B. wird Joomla eingesetzt?

Solchen Bots brauchen wir nicht und wir können auch in Twitter nicht einen echten guten Kunden finden, der eine positive Aussage zum AhrefsBot getroffen hat. Die Aussagen, die in Twitter veröffentlicht werden, sind alle so aufgemacht, daß man davon ausgehen kann, daß diese ausschließlich von diversen (ggf. Fake-) Profilen von Ahrefs selbst gestreut werden um auch jegliche negativen Tweets zu unterdrücken! 

Wir müssen uns also schützen gegen diesen bösen Bot und im Anschluß erfolgen einige "Rezepte", wie Sie sich schützen können:

Auf einem normalen Apachen-Server befinden sich unter Linux im Verzeichnis /etc/apache2 die entsprechenden Logs! Machen wir dort mal ein paar Abfragen:

cd /etc/apache2
grep -i 'Ahrefs' error_log | wc -l
grep -i 'Ahrefs' access_log | wc -l
ggf. auch in anderen Logs

Mit wc -l wird jeweils die Anzahl der gefundenen Log-Einträge gefunden. Lassen Sie | wc -l weg, werden die Zeilen aufgelistet!

In Plesk - Servern befinden sich die Log-Files unter /var/www/vhosts/system
Dort suchen wir wie folgt:

cd /var/www/vhosts/system
grep -i 'Ahrefs' */logs/error_log | wc -l
grep -i 'Ahrefs' */logs/access_log | wc -l

Wenn Sie ausreichend viele Einträge gefunden haben und Fail2Ban einsetzen, sollten Sie AhrefsBot beim ersten Aufruf blockieren! So richten Sie sich einen Jail ein:

cd /etc/fail2ban/filter.d

vi ahref-badbot.conf

und fügen Sie folgenden Inhalt ein:

# Fail2Ban configuration file
#
# Regexp to catch known spambots and software alike. Please verify
# that it is your intent to block IPs which were driven by
# above mentioned bots.


[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# apache-common.local
before = apache-common.conf


[Definition]
#Erweiterung moeglich mit Test, z.B (AhrefsBot|NixBadBot)

failregex = ^%(_apache_error_client)s.*ModSecurity:.*AhrefsBot.*$

ignoreregex =

 

Nun müssen wir den Jail noch anlegen (bei anderen Systemen ggf. in der jail.conf - bei Plesk in der jail.local):

cd /etc/fail2ban
vi jail.local

[apache-badbot2]
filter = ahref-badbot
enabled = true
action = iptables-multiport[name="apache-badbots", port="http,https,7080,7081"]
%(mta)s-whois-lines[name="apache-badbots", dest="[email protected],[email protected]", logpath="/var/www/vhosts/system/*/logs/error_log"]
logpath = /var/www/vhosts/system/*/logs/error_log
maxretry = 1
findtime = 60
bantime = 86400


Wenn Sie Anti-Attacks voll einsetzen, also an Anti-Attacks automatisch melden und von Anti-Attacks die Blackisten beziehen und Ihre Infrastruktur schützen, können Sie die Ban-Time auf 600 reduzieren, weil dann und nur dann Sie automatisch durch die Firewall automatisch geschützt werden! 

Bei einem solchen BadBot sollten Sie auch nicht erst 5 Angriffe abwarten, weil dieser Bot bei jedem Abruf auf eine andere IP wechselt und Sie würden nur Fail2Ban extrem belasten, wenn Sie nicht direkt nach dem 1. Aufruf sperren würden!



Cookie-Regelung

Diese Website verwendet Cookies, zum Speichern von Informationen auf Ihrem Computer.

Stimmen Sie dem zu?