Information zu Spam von drupaler.org
Eingetragen von ermuel (28)am 23.05.2015 - 17:30 Uhr in
Allgemeine Info
in letzter Zeit sind mir wiederholt Account-Anmeldungen von " XXXXX@ad.drupaler.org! auf meinen Drupalseiten aufgefallen die ich jedesmal gleich gelöscht habe. .
Nun haben mich diese permanente Anmeldungen neugierig gemacht (und auch genervt) und habe mal gegoogelt und bin da auf viele Beiträge unter "drupal.org" gestossen wobei ich feststellen konnte, daß die Herkunft von diesem "drualer.org" nicht gsnz klar ist.
Da ich mit mehreren IP-Control System meine Logdateien analysiere kann ich hierzu folgende Information liefern:
dieser drupaler.org ist nichts anderes als OVH mit der
IP 5.39.37.60
und dem
IP-.Range 5.39.0.0/17
zu OVH muß man sagen, daß bei denen anscheinend nur geistesgestörte User registriert sind. Da kann man den einen Account sperren und es folgt darauf ein anderer von OVH egal ob Frankreich, Canada, Niederlande, oder sonstwo auf der Welt. Meine Empfehlung ist daher rigoros die IPs von OVH komplett im ganzen IP-Range zu sperren und zwar nicht in der drupal/config sonder direkt in der htaccess (deny from xxx.xxx.xxx.xxx) denn alles was von OVH kommt hat keinen Nutzwert für einen Webseiten-Betreiber.
Ich wollte die Information bei drupal.org einstellen, habe dort aber keinen Account. Deshalb wäre es sinnvoll, wenn die Kollegen vom drupalcenter.de die Info an die Kollegen von drupal.org weitergeben. Hilft evtl. denen die nicht die Möglichkeiten zum recherchieren haben so wie ich.
Gruß ermuel
- Anmelden oder Registrieren um Kommentare zu schreiben
Jo - OVH ist schon lang
am 24.05.2015 - 08:52 Uhr
Jo - OVH ist schon lange auffällig und ad.drupaler.org auch.
Da hilft nur "User Restriction" und das Sperren der gesamten Domain beim Anmeldeprozess.
Das Blocken der OVH-IPs bringt hingegen nicht so viel denn da kommen ständig neue IP-Blöcke hinzu. Ich habe das mal mehrere Wochen lang über die htaccess gemacht aber irgendwann aufgegeben. Die IP-Liste war schon ellenlang aber fast täglich kamen neue IPs hinzu. Das war ein Kampf gegen die Hydra ... ich hatte irgendwann keine Lust mehr ;-)
Honeypot installieren reicht aus (+ User Restriction). Seit dem ist Ruhe obwohl alle 30 Sekunden ein Registrierungsversuch (meist über OVH) kommt.
RE: Jo - OVH ist schon lang
am 24.05.2015 - 16:15 Uhr
Ich habe den Beitrag nur eingestellt weil ich beim googeln darauf gestossen in, daß es im Forum von drupal.org zumindest von User-Fragen nicht ganz klar war was sich hinter drupaler.org verbirgt.
OVH kommt insofern immer wieder mit neuen IPs weil die auf der ganzen Welt Serverstationen haben und somit auch recht flexibel sein können. Zudem schleicht sich OVH mitunter auch mit falschen Identitäten auf die Webseiten. Davon habe ich mittlerweile eine ganze Sammlung von OVH-IPs
Der Tipp mir dem Honeypot (Honigtopf) war mir auch eine Zeitlang in Gedanken. Habe das dann aber bleiben lassen, weil mir persönlich das Risiko zu groß ist - denn ist dieser einmal gehackt und man merkt es nicht sofort hat man eben kein System mehr das einem (Besitzer) gehorcht.
Allgemein empfehle ich trotzdem den Webseitenbetreiber den Tipp von Ionit zu beherzigen und sich mal mit einem Honeypot zu befassen bzw. es zu vesuchen.