Übermäßig viele Zugriffe aus China

[Flox]

Hallo Zusammen,

ich bekomme auf einer Webseite seit dem 28.11. extrem viele Zugriffe aus China. Wie es scheint werden hier Möglichkeiten gesucht um auf den Server zuzugreifen. Anbei einmal ein Screenshot von einer Seite im Log.
Bildschirmfoto 2015-11-30 um 11.13.12.jpg

Bisher sind es rund 7300 Logs seit dem 28.11. Kann man etwas dagegen unternehmen? Das macht mich doch etwas skeptisch. Soll ich mich einmal an den Provider wenden?

Viele Grüße
Flox

[lucina]

Entweder an den Provider oder aber die Region weitgehend via .htaccess aussperren. Wie das geht -> https://wiki.selfhtml.org/wiki/Webse...bereiche_namen sowie http://incredibill.me/htaccess-block-country-ips

[Spooky]

Wurde die betroffene Website erst vor kurzem auf Contao umgestellt?

[lucina]

Ich glaube, das ist in dem Fall irrelevant. Wer aus China kommt und etwas wie sqlin.asp aufrufen möchte ist qua definitionem böse. Da lege ich mich jetzt einfach mal fest.

[Flox]

Entweder an den Provider oder aber die Region weitgehend via .htaccess aussperren. Wie das geht -> https://wiki.selfhtml.org/wiki/Webse...bereiche_namen sowie http://incredibill.me/htaccess-block-country-ips

Dann werde ich mal mit dem Provider telefonieren.

Wurde die betroffene Website erst vor kurzem auf Contao umgestellt?

Die Seite läuft schon ca. 3 Jahre auf Contao.

[Flox]

Nun habe ich mal mit dem Provider telefoniert (1&1).

Sie können da erstmal nichts unternehmen, ich soll die IP-Adresse in der .htaccess blockieren.

Gesagt, getan. Und das reicht dann aus? Macht mich doch dann etwas stutzig.

Aber Danke euch 2 für eure Unterstützung.

Grüße Flox

[lucina]

Ich habe Dir doch den Link dazu gepostet.

Danke 1&1 - sowas ist denen anscheinend vollkommen wurst. Bestätigt mal wieder mein Bild.

[Flox]

Ja, habe deinen Link auch benutzt
Wollte netterweise 1&1 das nur mitteilen. Der Herr am Telefon klang auch sehr lustlos, ich hab von 1&1 auch kein gutes Bild, nur will der Kunde dort leider bleiben.

Grüße

[Thomas]

Reicht natürlich nicht, da die vermutlich ständig die IP's ändern und über Proxis kommen!

Maßnahmen kann Server seitig natürlich nur der Anbieter ergreifen.
Das man da nichts machen kann ist totaler Quatsch.

Man muss natürlich die Fragen beantworten, ob es sich um einen Server (vServer, Managed-Server) oder einen Webhost handelt!?
- Webhost und Managedserver muss der Anbieter regeln
- vServer und Root-Server kannst Du selbst, z.B. mit fail2ban und anderen Lösungen

Per .htaccess hast Du nur eingeschränkte Möglichkeiten. Natürlich kannst Du IP-Ranges oder einzelne IP's per .htaccess blocken, aber willst Du den ganzen Tag IP's eintragen?

Du darfst eins nicht vergessen, da sitzen "Fachmenschen" (Fachidioten) in einem Callcenter!

[tab]

Selbst wenn du da einen erwischen würdest, der es vom Wissen her und auch technisch (Rechte) machen könnte, dann dürfte er es wahrscheinlich nicht, jedenfalls wenn es sich um ein shared hosting handelt.

[Flox]

Ich habe gestern mal noch Parallel eine E-Mail an den Support geschickt. Hier kam dann auch schon eine Antwort und ich wurde 2x nach der Domain gefragt. Zumindest wird das nun mal bearbeitet.
@Thomas, ja, die IP hat mein lieber Chinese schon geändert

Ich halte euch hier mal noch auf dem Laufenden, vielleicht hilft das ja noch wem anderen.

Viele Grüße
Flox

[lucina]

Das ist kein lieber Chinese, das ist ein Bot, und die wechseln die IP wie jeder andere auch.

Ich persönlich habe noch nie einen Schaden festgestellt nachdem ich die VR China von einer Seite komplett ausgesperrt hatte. Es gibt aber auch elegantere Lösungen wie fail2ban und andere Blacklisten, die man gerne mal einsetzen kann.

[Flox]

Ich hatte nun noch einmal ein Telefonat mit dem Support von 1&1.
Laut ihm waren die >7000 Zugriffe innerhalb von 2 Tagen nicht in der Lage bei 1&1 Alarm zu schlagen, so dass seitens 1&1 nichts unternommen wird. So bleibt nur die oben genannte Lösung und eine IP-Bannliste in der .htaccess erstellen.

Grüße Flox