In den letzten Tagen mehr als 40 Seitenaufrufe pro Minute bestimmter IPs

Module Flood control.
Alternativ zu diesem Modul mal Login Security ansehen. Ist aber etwas buggy (meine Issues laufen noch).

Brauchst Du Passwort vergessen zwingend?
Wenn nicht, dann die URL deaktivieren mit Hilfe des Modules No Request New Pass.

Herzlichen Dank für die Antwort!

Ich schaue mir das gleich mal an. Aber kannst Du mir sagen, was hier das Ziel ist, warum diese "Attacken" stattfinden, was der Nutzen für die Angreifer sein könnte?

Viele Grüße

Knobelvogel

Keine Ahnung ueber den Sinn solcher Attacken.

Fehlerhafte oder unfertige Robots oder so.
Serverlast produzieren.

Musste Neulich auf einer Seite die Ticket-Registrierung deaktivieren.
Registrierungen kamen im Sekundentakt und der Provider hat Fragen gestellt.

Kamen die Anfragen ebenfalls von bestimmten IPs oder Providern oder bestimmten Ländern? Hätte es sinngemacht, über Kommentare auf den jeweiligen Seiten Passwörter- und/oder Benutzer-Daten zu testen wegen Spam? Ich stehe total auf dem Schlauch.

Danke übrigens für die Antwort :)

Kann ich bestätigen. :-) Nicht nur bei Strato...

Mit Honeypot habe ich den Zugang zu meinen Formularen geschützt; das klappt super.
Ansonsten kann man auch gleich ganzen Ländern den Zugriff auf die eigenen Seiten verweigern (mit dem Blocken von China und Russland z.B. hat man schonmal einen wesentlichen Teil der Bot-Attacken stillgelegt). Gib mal den Suchstring "Geoip country block" in eine Suchmaschine Deiner Wahl ein.

Halte ich nicht für sinnvoll. Wie groß soll die Liste werden? Selbst das Blockieren ganzer IP-Ranges mit htaccess funktioniert nur eingeschränkt.

Danke für die Tipps und Infos! Ich werde mir einige Teile davon genauer ansehen. In den nächsten Tagen schreibe ich dann mal, welchen Erfolg ich bei den Gegenmaßnahmen hatte.

Grüße

knobelvogel

Ergebnisse: Honeypot hat gut den Traffic reduziert und scheint bei der Sache nützlich zu sein.

Weiß irgendwer, wie genau so eine Anfrage von den vielen prinzipiell aufgebaut und was das Ziel ist?

Die suchen Sicherheitslücken, testen irgenwelche Scripts, gehen vielleicht Passwortlisten durch, versuchen sich zu registrieren um Spam in Kommentaren zu hinterlassen etc.

Aber meiner Meinung nach sind das keine Profis. Das sind meist Scriptkiddys die uralte Sicherheitskücken oder Skripte ausprobieren.

Wenn man sein System up-to-date hält und keine dümmlichen Passwörter verwendet (12345 o.ä.) kann da eigentlich nichts passieren.

Ich hatte sogar mal welche die mir über das Contactformular jeden Tag Werbung zugeschickt haben. Das waren keine Bots sondern echte Menschen (aus Indien). Honeypot oder Captacha haben nichts gebracht und jeden Tag bekam ich "SEO-Werbung" aus Mumbay. Ich habe dann irgenwann die kompletten Ip-Ranges des indischen Kommunikationsunternehmens ausperren müssen und seitdem ist Ruhe.

Auch wenn man ab und an 40 automatisierte Abfragen pro Minute hat, sollte man sich keine Sorgen machen. Damit hat weder ein normales Webhostingpaket und schon gar kein Server irgend ein Problem mit und auch der Traffic ist zu vernachlässigen. Wenn man dauerhaft 40 Abfragen pro Sekunde hat, sollte man mal schauen was man machen kann aber pro Minute .... da gähnt jeder Server nur müde drüber .... das ist nichts.

Auch mehrmals täglich habe ich Bots die alle möglichen Installationspfade/Setuppfade von Wordpress, Webmailprogramen etc. ausprobieren und falschkonfigurierte Installationen suchen. Mein Logfile sieht häufig abenteuerlich aus aber dieses Problem hat jeder Server auf dieses Welt. Die spidern häufig DMOZ oder andere Directorys durch und danach bekommt jede URL Besuch von Bots und die testen dann riesige Listen von Websoftwareinstallpfaden durch in der Hoffnung eine alte Sicherheitslücke zu finden.