• Gelöst hessi2

    (@hessi2)


    Hallo Leute,

    es klingt blöd, aber ich möchte einen Besucher blockieren, der sich wie ein Bot benimmt und auf wirklich jeden Link auf der augenscheinlich völlig zufällig ausgewählten Seite, die er besucht, klickt.

    Ich ersticke gerade in Meldungen zu Likes, weil er auf die auch dauernd klickt. Und er „teilt“ alles über Shariff auf jeder Plattform. Sehr schräg.

    450 Aktionen in 15 Minuten, nur mal so als Beispiel.
    Wie kann ich den in die Schranken weisen?

    Danke im Voraus
    Viele Grüße
    Michael

Ansicht von 8 Antworten – 1 bis 8 (von insgesamt 8)
  • Wenn das alles über eine einzelne IP-Adresse kommt, könntest du diese IP-Adresse in der .htaccess blockieren. Die IP-Adresse wird bei Kommentaren angezeigt oder du findest sie im Access-Log deines Webservers.

    Eine Blockierung in der .htaccess kann z.B. so aussehen:

    order allow,deny
    deny from 1.39.175.142 (notierte IP-Adresse)
    deny from 3.374.983.084
    deny from 6.85.093.129
    allow from all

    (Quelle: How To Block IP Address in WordPress? (Ban spam and hack attacks))

    Wenn es sich um einen gezielten Angriff handelt, kannst du allerdings davon ausgehen, dass die IP-Adresse mehrfach gewechselt wird. Ein wirksamer Schutz ist dann die Verwendung von Honeypots in Kontaktformularen und CAPTCHA für Kommentarformularen. Für beides gibt es Plugins im Plugin-Verzeichnis.

    Als zusätzliche Absicherung ist es sinnvoll, ein Plugin zur Zwei-Faktor-Authentifikation (z.B. Two Factor) einzusetzen. Ich mag auch das Plugin BBQ Firewall – Fast & Powerful Firewall Security, während ich bei All-in-One-Security-Plugins eher kritisch bin.

    Thread-Starter hessi2

    (@hessi2)

    Danke, ja, die IP scheint gewechselt zu werden, da ich mehrere Likes hintereinander bekomme. Aber Matomo meint, es wäre nur ein User.

    Die Kommentare sind durch Anti-Span-Bee und das Login durch TFA geschützt.

    Meinen BotTrap-Honeypot hatte ich von der Site genommen. Könnte ich mal wieder aktivieren, um zu schauen, wie die Hits da sind.

    Danke für den Hinweis auf das Fw-Plugin, denn man ist ja nicht immer online und schaute gerade in die Statistiken. 🙂 Ich mag solche Tools überhaupt nicht, da die einem unbemerkt Funktionen von Plugins blockieren, aber das werde ich testen. Einzig, weil Du es magst. 🙂

    Danke!
    Schönes WE!
    Michael

    Aber Matomo meint, es wäre nur ein User.

    Vermutlich weil der Cookie bleibt, während die IP-Adresse wechselt – scheint wohl typisch für eine Bot zu sein. Vielleicht hat auch jemand ein schlaues Buch über Kali Linux gelesen, bedient sich irgendwelcher Skripte und am Montag hast du wieder Ruhe. Ich drück‘ die Daumen.

    Thread-Starter hessi2

    (@hessi2)

    Danke! Schon jetzt ist wieder Ruhe. Hatte den Maintenance Mode für 20 Minuten eingeschalter und die BBQ Fw installiert.
    Danke nochmals!

    Hört sich doch gut an.
    Schönes Wochenende.

    Thread-Starter hessi2

    (@hessi2)

    Mist, er war wieder da. Schlimmer als vorher. Die Fw hat seine Aktionen nicht als „bad behavior“ erkannt.
    Jetzt muss ich mal nach einem dedizierten Plugin suchen, dass bspw. „15 Aktionen in 45 Sekunden“ und ähnliche Späße erkennt.

    Edit: Er scannt die Seite, denn er kommt auch auf Seiten, die nicht intern verlinkt sind.

    • Diese Antwort wurde geändert vor 8 Monaten, 3 Wochen von hessi2.

    Der Bot kommt zwar unterschiedlichen IPs, aber mit welchem Agenten? Das siehst du in der Logdatei vom Server. Falls das ein eindeutiger Agent ist, kannst du den auch in der .htaccess blocken:

    RewriteCond %{HTTP_USER_AGENT} BadBotAgent [NC]
    RewriteRule ^(.*)$ - [R=403,L]

    BadBotAgent musst du natürlich ersetzen.

    Thread-Starter hessi2

    (@hessi2)

    Danke für den Hinweis, aber so kann ich immer nur reagieren. Im Zweifel bekomme ich stundenlang nichts mit und dann isses zu spät.

    Ich habe Blackhole for Bots installiert, das ist simpel und ressourcenschonend. „Klickt“ ein Bot auf einen Link, der in der Robots.txt als forbidden definiert wird, wird er komplett geblockt.

    Bin mir nicht sicher, für wie lang, aber auch wenn der für immer blockiert wurde, werde ich damit leben können.

    Oder ich werde wieder meinen selbstgebastelten Honeypot mit Bot Trap-Anbindung einsetzen, da maulte nur Google rum, weil die Links zu klein wären, um sie anzuklicken. Mal sehen, wie das mit Blackhole ist.

    Bisher kam der Bot nicht wieder. Antispam-Bee hat aber alleine heute 1669 Spamkommentare geblockt. Normal sind 25 bis 250 am Tag.

    Schönes WE!

Ansicht von 8 Antworten – 1 bis 8 (von insgesamt 8)
  • Das Thema „Besucher blockieren?“ ist für neue Antworten geschlossen.