Seltsame Gäste auf unserem Shop

[babba]

Dear Community,

zur Zeit treiben irgendwelche Spassvögel ihr Unwesen auf unserem Shop.

Wir habe hunderte von Gastzugriffen immer auf das gleiche Produkt mit  angehängten seltsamen Strings, die sich auch per Zugriff ändern.

Hier ein kurzer Ausschnitt:
[ Für Gäste sind keine Dateianhänge sichtbar ]

Wenn ich per .htaccess die jeweilige IP sperre, geht es gleich danach mit einer anderen IP weiter - auch ändern sich ab und an die IP's von alleine, bei gleicher Aktion.

Viel seltsamer ist, wenn ich den Shop 'offline' setzte geht es lustig weiter 

Was macht man in so einer Situation? Einfach gar nichts und die Jungs weiter spielen lassen?

Falls nicht, (jetzt nicht lachen) wie nimmt man einen Shop schnell mal vom Netz?

Schon mal Danke für jeden Tipp.

Ach ja, ich habe noch die Shopversion 1.05 SP1d

Liebe Grüße
Dieter

Linkback: https://www.modified-shop.org/forum/index.php?topic=29565.0

[ShopNix]

Das sind keineswegs Spassvögel, sondern Cracker (oder solche, die es werden möchten).

Nun kommt ein Muster wie '.html?%' in der regulären URL nicht vor, und so kannst Du diese Sorte von Möchtegern-Crackern über .htaccess und mod_rewrite recht leicht ins Abseits schicken. 

[babba]

Hallo ShopNix,

Danke für Deine Antwort. Was genau meinst Du mit 'über .htaccess und mod_rewrite recht leicht ins Abseits schicken' ?
Ich habe versucht sie mit deny from IP abzublocken, aber nach wenigen Minuten waren sie mit einer anderen IP wieder am Werk.

Gerade hat der Spuk aufgehört - aber ich wäre gerne für das nächste mal gewappnet.

Gruss
babba

[peter111]

Da ich ähnliche Probleme hatte habe ich seit Jahren CrawlProtect laufen.
Die Software übernimmt deine htaccess, erweitert sie und zeigt anschließend eine Statistik der netten Menschen, die versucht haben deinen Shop zu kompromittieren.
Ich bin sehr zufrieden mit diesem Schutz!

[babba]

Danke peter111,

hört sich gut an und ich werde das mal versuchen.

Ach ja, die Jungs sind schon wieder da und versuchen die tollsten Sachen.

Gruss
babba

[ShopNix]

Hier mal ein Beispiel, eingefügt in die vorhanden .htaccess, Du solltest die Zeilen 101 bis 107 und 114-116 wiederfinden, die Zeilen dazwischen schicken den Besucher auf einen Fehler, wenn der Query-String mit einem %-Zeichen beginnt.

Code: PHP  [Auswählen]

101 ##-----------------------------------------
102 ##- SEO Shopstat Modul (Hartmut Koenig)
103 ##-----------------------------------------
104 <IfModule mod_rewrite.c>
105   ##-- Initialize and enable rewrite engine
106   ##-- Documentation http://httpd.apache.org/docs/misc/rewriteguide.html
107   RewriteEngine On
108
109 # sx.cracker.b
110   RewriteCond %{QUERY_STRING} ^\%
111   RewriteRule ^ / [F]
112 # sx.cracker.e
113
114   ##-- EXAMPLE: If your shop is located at "http://www.yourdomain.com/shop",
115   ##-- set the following line like e.g.: RewriteBase /shop/
116   RewriteBase /

[babba]

Hallo,

ich möchte mich an dieser Stelle noch mal bei peter111 bedanken. Habe 'crawlProtect' eingebaut - seitdem ist Schluss mit Spielwiese auf unserem Shop.

Allerdings finde ich im Protokoll auch

-> Shell type hacking attempts

und die zugehörigen IPs gehören Google 

crawlProtect stört sich z.B. an: Shell: /index.php?tpl=clear&amp;cPath=84

Seht Ihr das auch? Könnte das kritisch sein?
Vielleicht sollte man die IP-Ranges 66.249.75. und 66.249.67. explizit zulassen?

Euch allen ein schönes Wochenende.

Gruss
Dieter

[gerdvomabbruch]

"babba" Google kommt über verschiedene IP Nummern das ist mit diesen 2 Nummern nicht getan.

Ich block diese Angreifer in der htaccess über deren Hostnamen und wenn das nicht geht lösche ich die hinteren  Nummern, da ich nach USA, Russland, China etc.  eh nicht liefere werden auch keine Kunden geblockt.