Pixray und andere Spider ausgesperrt

Am 26.02.2014 gegen 20:40 Uhr wurde meine Internetseite denken24.de aus Sicherheitsgründen vom Netz genommen. Mein Webhoster Candan hatte den Verdacht einer Denial-of-Service (DOS) Attacke und hat die Seiten vorsorglich vor weiteren Zugriffen geschützt und mich per E-Mail informiert. Mal wieder zeigt sich, dass Candan ein empfehlenswerter Webhoster ist. Ein Blick in die Zugriffsstatistik und den das Logbuch zeigen, wer wie oft und wie versucht hat, meine Internetseite zu stören.

Whois 5.199.136.130 ?

Die zahllosen Zugriffe von der o.g. IP-Adresse waren weitgehend identisch und bezogen sich auf Bilddateien (hier z.B. Platine-3.jpg):

Hier ein paar andere Zugriffe von der o.g. IP-Adresse:

Recherche

  1. Die IP-Adresse 5.199.136.130 gehört zum Adressbereich der myLoc managed IT AG und wird genutzt von einem Dedicated Root Server der Firma webtropia.com.
  2. Laut wetena.com gehört die IP-Adresse zu Pixray, einem „Internet Detektiv“ auf der Suche nach urheberrechtlich geschützten Bildern. Das passt zu den massenhaften Zugriffen der IP-Adresse 5.199.136.130 auf meine Bilddateien.
  3. Pixray tarnt sich anscheinend unter dem Namen spiderlytics.com und belästigt auch andere Internetseiten mit häufigen und intensiven Anfragen.
  4. In verschiedenen Foren wird empfohlen, die IP-Adresse 5.199.136.130 zu sperren. Kein gutes Image für den Inhaber der IP-Adresse.
  5. Die von der IP 5.199.136.130 angegebene URL im „User Agent“ (waybackarchive.org) ist eine anonym registrierte Domain bei godaddy.com und hat nichts mit dem Wayback Internet Archive zu tun.

Statistik

Die Apache Access Logs kann man einfach mit Excel aufbereiten, filtern und sortieren. Wenn man in den Access Logs nach „nderungen_an_verlinkten_Seiten“ sucht, kann man für den Zeitraum 24/Feb/2014:04:46:22 bis 02/Mar/2014:18:31:35 folgende Statistik aufstellen:

  • 39.471 Zugriffe (=100,0%) insgesamt, davon
  • 20.724 Zugriffe (= 52,5%) nach dem Muster GET /index.php?title=Spezial:%C3%84nderungen_an_verlinkten_Seiten, davon

Fragen an die Provider

Anfrage an myloc.de

Hallo,
am 26.02.2014 gegen 20:40 wurde meine Internetseite (IP: 213.131.245.151) von einer IP-Adresse aus Ihren Rechenzentrum (IP: 5.199.136.130) in Form einer DOS-Attacke angegriffen sodass mein WebHoster meine Seite vorsorglich vom Netz genommen hat. Die Zugriffe bezogen sich hauptsächlich auf Bilddateien. Die genannte Source-IP wird in verschiedenen Foren als Spider im Auftrag von PIXRAY (pixray.com) genannt.
Können Sie mir bitte Auskunft über die Nutzung dieser IP-Adresse zum angegebenen Zeitpunkt geben?
Um weiteren Schaden zu vermeiden würde ich Ihnen empfehlen, Ihr Vertragsverhältnis mit dem Nutzer der genannten IP-Adresse zu prüfen.
Danke!

Email an support@pixray.com

Hallo,
am 26.02.2014 gegen 20:40 wurde meine Internetseite (IP: 213.131.245.151) von der IP-Adresse 5.199.136.130 in Form einer DOS-Attacke angegriffen sodass mein WebHoster meine Seite vorsorglich vom Netz genommen hat. Die Zugriffe bezogen sich hauptsächlich auf Bilddateien. Die genannte Source-IP wird in verschiedenen Foren als Spider im Auftrag von PIXRAY (pixray.com) genannt.
Um weiteren Schaden zu vermeiden habe ich Zugriffe von verschiedenen Spidern blockiert.
Können Sie mir bitte Mitteilen in welchem Zusammenhang PIXRAY mit der genannten Source-IP steht? Ich gehe davon aus, das PIXRAY ein Botnetz betreibt und von verschiedenen Quellen anonym mögliche Urheberrechtsverletzungen aufdecken möchte.
Danke!

Sie dürfen nun mal raten ob ich eine Antwort erhalten habe…

Hetzner

Es fällt auf, dass meine Seiten immer wieder aus dem IP-Adressbereich der Hetzner Online AG belästigt werden. Anscheinend legt Hetzner nicht viel Wert auf die Nutzung der Server und lässt Alles und Jeden die Server nutzen. Hauptsache der Hosting/Housing Vertrag ist in trockene Tücher. Wer bei Google nach Hetzner & SPAM sucht, der findet viele Admins, welche die Hetzner IP-Adressbereiche sperren. Hier ein paar Listen mit IP-Adressen die jeder Admin sperren sollte:

Internetseite schützen

Um die Internetseite vor unnötigen Zugriffen zu schützen, muss man Zugriffe von bestimmten Adressen einfach blockieren. Da die Spammer jedoch schnell die Server (und damit die IP-Adresse oder URL) wechseln, ist das u.U. ein Kampf gegen Windmühlen. Aber irgendwo muss man anfangen. Die einfachste Methode ist die Installation einer .htaccess Datei in den zu schützenden Web-Verzeichnissen. Effektiver ist die Blockade in der Konfiguration des Apache Webserver zu konfigurieren.

robots.txt

Die Textdatei robots.txt im HTML Verzeichnis drückt den Wunsch des Seitenbetreibers aus, ob und wie die Seite von einem Webcrawler besucht werden soll. Ob sich die Crawler an diesen Wunschzettel bleibt offen. Hier ein Beispiel:

.htaccess Access Restriction

Die Textdatei .htaccess im HTML Verzeichnis ist eine „versteckte“ Datei die vom Apache Webserver ausgewertet wird. Über diese Datei kann z.B. der Zugriff auf das betreffende Verzeichnis gesperrt werden. Beim Rechnen mit IP-Adressen und Subnetzmasken hilft z.B. dieser IP-Subnetz Rechner

.htaccess Deny Hotlinking

Die Bilddateien im Ordner …/wp-content/uploads sind normalerweise für jeden sichtbar. Mit Hotlinking ist der Mißbrauch von fremden Bilddateien gemeint: Website A bindet Bilder von Website B ein. Der Besucher von Website A bemerkt die Umleitung auf Webseite B nicht und der Betreiber von Website A nimmt dabei in Kauf, dass Bandbreite und Transfervolumen von Website B missbraucht werden.

Dem kann man entgehen, wenn man die eigenen Bilddateien vor fremden Zugriffen (Referer) schützt. Dazu legt man im uploads Ordner eine .htaccess Datei an:

httpd.conf

Die Sperren sind effektiver, wenn man sie direkt in die Apache Konfiguration einträgt. Manche Webhoster erlauben den Zugriff auf die Konfigurationsdatei. Leider bietet mein Webhoster diese Option nicht an.

Strafanzeige

Eine „Denial of Service“ Attacke ist gemäß § 303b StGB strafbar und der Gesetzgeber spricht von Computersabotage. In diesem Fall bin ich als Privatmensch geschädigt worden. Nach § 303b StGB kommen in diesem Fall Abs. 1 und Abs. 3 zur Anwendung:

Falls das Opfer ein Gewerbe (Betrieb, Unternehmen) oder eine Behörde ist, kann man sich auf § 303b Abs. 2 StGB berufen:

Beweise sichern

Wie im Beitrag SQL-Injection_analysiert beschrieben, stellt jeder Webhoster die Zugriffsprotokolle zur Verfügung. Die Daten werden jedoch nur eine begrenzte Zeit aufbewahrt sodass man sich mit einer Strafanzeige beeilen sollte. Zur Sicherheit sollte man die Daten selbst sichern.

Links

Veröffentlicht in Internet Getagged mit: , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*