spambot hat meinen server gefunden was nun

[kmed]

Hallo. Mir ist gerade eben aufgefallen das mein wp mir 53 neue kommentare auf eine freigabe warten. Nur 2 leute kennen die seite kann also nicht sein, und ich hatte schon eine schlechte vermutung. Vor 2 wochen hatte ich nähmlich das selbe schon mit einem auf dem selben server laufenden forum. Das kannten auch schon ein paar mehr leute, 200000 Benutzer das kam mir aber schon ein wenig seltsam vor. War die selbe kiste.

Problem ist jetzt nur folgendes. Ich glaube nicht das der server gehackt wurde oder irgent sowas. Die domain von der privatn seite läuft über einen anbieter namens duckdns, die bekommt man mit nem dns scan schnell raus. Aber ich hab trotzdem son bisschen sorge dass es sich negativ auf die server performance auswirken könnte. Und einfach vom server sperren kann ich die auch nicht weil die sich schön jeder mit ner anderen ip anmelden. Ich weiß aber das es immer ein und der selbe ist, weil er spamt nur komische sinnlose zitate rein und gibt als webseite immer eine seite an, die ich hir ungern posten möchte. Er scheint auch jetz n bisschen aufgegeben zu haben, denn seit sontag kam kein kommentar mehr dort. Hat ihn wohl blos 53 anläufe gekostet um zu merken dass ich ihn nicht einlassen werde.

Kann ich etwas dagegen unternehmen, oder soll ich es einfach so gut es geht ignorieren?

 

[Ravenstein]

3 möglichckeiten entpsrecehnde plugins wie z.b. spam assasin verwenden.
das ganze ignorieren
kommentare nur für account inhaber bzw. komplett deaktiveren.

 

[Rickmer]

Kannst du nicht dein privates Forum so schalten, dass User erst posten können wenn du die manuell freigeschaltet hast?

 

[madmax2010]

Was @Rickmer sagt. Wie und wo ist der betrieben? Auf deinem eigenen Server? Da kann fail2ban auch helfen

 

[kmed]

Danke für die schnellen antworten. Das mit dem bestätigen ist bei der wp seite und bei dem forum damals auch schon so eingestellt gewesen. Bringt aber nicht viel weil es mich trotzdem oft in der email anbimmelt ich solle doch bitte mal moderieren.
Fail2ban ist doch dazu da um ssh bruteforce zu spärren, was soll das da ändern? Aber ja das ist ein ubuntu vps.

 

[Pako1997]

Wenn es dein eigener Server ist kannst du das DNS z.B. über Cloudflare laufen lassen und gewisse IP-Bereiche sperren. Damit können nur noch Anschlüsse aus Deutschland auf deinen Server zugreifen. Das ist natürlich kein perfekter Schutz, könnte aber helfen.

Ergänzung (11. März 2021)

Die Performance des Servers sollte davon kaum beeinflusst werden. Du könntest es also auch ignorieren.

 

[madmax2010]

Fail2ban ist doch dazu da um ssh bruteforce zu spärren, was soll das da ändern? Aber ja das ist ein ubuntu vps.

Fail2ban ist dazu da um logdateien zu lesen und aktionen, wie das sperren von jemandem in der Firwall, anhand von pattern in Logs zu sperren. Für sshd ists halt auch nutzbar. schau von wie die kommen und was für calls da gegen den Server laufen.

 

[kmed]

Danke für die richtigstellung, habe fail2ban jetzt mal installiert. Auf den server haben es die bots wohl richtig abgesehen, mir ist nählich auch so eben aufgefallen, dass da so ein kleiner spaßvogel wohl unbedingt in meinen postfix reinkommen möchte. Da gibts dann logeinträge wie diese.

Mar 11 00:14:01 online postfix/smtpd[23510]: connect from mone183.secundiarourous.com[141.98.10.183]
Mar 11 00:14:03 online postfix/smtpd[23510]: warning: mone183.secundiarourous.com[141.98.10.183]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Mar 11 00:14:03 online postfix/smtpd[23510]: disconnect from mone183.secundiarourous.com[141.98.10.183] ehlo=1 auth=0/1 quit=1 commands=2/3
der versuchts heut schon den ganzen tag und hat offenbar auch paar kolegen geschickt, andere ips, die sind aber nicht so aktiv. Na vielleicht kann die fail2ban ja wegbannen.

 

[Scirca]

Wie wäre es wenn du einfach recaptcha v3 einrichtest für Anmeldung. Hatte was ähnliches mit einem Formular auf einer Seite, seit dem 0 Bot Zugriffe.

 

[Akustikkoppler]

fail2ban wird nicht helfen bei Kommentaren von nicht angemeldeten Usern. Mit Fail2ban kannst du bzgl. Wordpress Hits auf wp-login.php (default) aufspüren, oder auch xmlrpc.php (selber in den conf schreiben)

Ich hab auf in einem Wordpress ein anti-comment SPAM plugin laufen das sehr gut funktioniert (wp-spamshield, wird aber nicht mehr betreut, muss mich da mal nach etwas Neuem umschauen).

Ich werde mir diesen Link ml genauer anschauen: https://www.wpexplorer.com/antispam-plugins-wordpress

Bei einem anderen WP habe ich in Settings > Discussions eine Liste mit bösen Wörtern, das filtert ca. 90%

amox
asino
blog.com
bitcoin
bizcom
cialis
crypto
dating
erectile
filma
filmk
filmm
filmy
dfilm
herbal
hydra
loans
monkey
pharmacy
porn
pussy
quickloan
SEO
sinef
tadal
tinyurl
viagra
.ac
.cars
.club
.cz
.fun
.gd
.gq
.icu
.in
.link
.ly
.onion
.online
.pl
.pw
.review
.ru
.site
.su
.tk
.top
.trade
.tw
.wtf
.xyz
и
Мы

 

[madmax2010]

Du hast 'Prinz' vergessen

 

[Akustikkoppler]

Du hast 'Prinz' vergessen

Bots die meine Seiten lieben können selten deutsch ;-) Wenn man täglich sehr viele Spam Kommentare bekommt dann ist das auch nicht wirklich effektiv. Man kann ja immer auch nur 20 oder so auf einmal löschen. Hatte mal eine Seite mit 1000+ Comment Spam, via phpmyadmin geht dass aber auch flott.

 

[Madman1209]

Hi,

Bzgl. der Kommentare in WordPRess:

• nur für angemeldete User erlauben
• geht das nicht: Kommentare manuell freigeben (sollte man ohnehin, da du als Seitenbetreiber ggf. auch haftbar bist)
• reCaptcha nutzen, das ist kostenlos und zuverlässig

Bzgl. Angriff auf deinen Server:
- Fail2Ban ist da schon nicht verkehrt

VG,
Mad

 

[kmed]

Danke für die Antworten.

Ja, dass fail2ban die wp comments nicht killt ist klar, aber ich bezog mich da auch eher auf die postfix sachen. Das mit den accounts habe ich jetzt mal eingestellt.

Seit wann it man denn für kommentare, die auf seiner webseite gemcht worden, haftbar? Außerdem ist das mit dem manuell zulassen schon so, aber bringt nicht viel weil dann läuft halt die kiste voll.

 

[Madman1209]

Hi,

daher ja auch der Hinweis, reCaptch zu verwenden, dann kommen die Spam Beiträge überhaupt nicht durch.

Dass du als Webseitenbetreiber haftbar gemacht werden kannst wenn illegale Inhalte bei dir gepostet werden ist schon eine ganze Zeit lang so.

Das Urteil vom 4. Juli 2013 (Az. I ZR 39/12) des Bundesgerichtshofes sollte Webseiten-Betreiber aufhorchen lassen. Der BGH entschied darin, dass Webseiten-Betreiber nun auch dann für Urheberrechtsverletzungen haften, wenn der fragliche Inhalt zwar von einem Dritten stammt, dieser jedoch von dem Betreiber selbst hochgeladen wurde. In diesem Fall besteht nämlich eine Kontrollmöglichkeit und somit auch eine Kontrollpflicht des Betreibers der Webseite.

Was bei Urheberrechtsverletzungen greift gilt natürlich auch bei anderen illegalen Inhalten. Wenn also jemand etwas auf deiner Seite postet stehst du in jedem Fall mit einem Bein vor dem Kadi. Daher: manuell freigeben!

VG,
Mad

 

[kmed]

Gabs dieses urteil wirklich an meinem Geburtstag? Ja danke für nix🙃. Aber naja kann man ja nichts machen. Recaptcha ist ein bisschen unpraktisch weil es eine seite für blinde ist. Außerdem hat recaptcha manchmal son problem mit vpn anbietern oder generäll öffentlichen netzwerken wo es dann plötzlich heißt mein gerät würde automated queries senden und deswegen können sie mich jetzt nicht reinlassen.

 

[Madman1209]

Hi,

reCaptcha v3 ist hier das Zauberwort. Da wird nichts mehr eingegeben, sondern es wird ein Rating genutzt aus verschiedensten Faktoren.

Das mit dem VPN / öffentlichen Netzen stimmt, aber es gibt da in meinen Augen keine bessere Lösung. Im Grunde arbeitet jede AntiSpam Lösung entweder mit einem Captcha oder mit einem Honeypot.

reCaptcha ist von all diesen Lösung mit Abstand die Mächtigste.

VG,
Mad