Hallo!

Hi,

Auf grund massivem Refererspam von russischen Seiten möchte ich gerne alle Besucher die laut Referer von *.ru Seiten kommen per .htaccess sperren.

Leider blockiert das Script von Wikipedia alle Besucher

RewriteEngine on
RewriteCond %{HTTP_REFERER} .ru [OR]
RewriteRule .* - [forbidden,last][

Meines Erachtens ist das keine effektive Lösung. Bei massiven Attacken sollten die Serverlogs ausgewertet werden und gezielt die Angreifer z.B. per Firewall (s.a. IPTABLES oder notfalls auch scriptseitig blockiert werden.

Da es sehr aufwändig ist, ständig die Logs zu studieren, können auch Regeln für iptables definiert werden, die Angreifer automatisch unter gewissen Voraussetzungen blockieren.

Selbst verwende ich ein PHP-Script mit dem ich IPs, Ratio, Menge der Zugriffe/Tag, Referer, user-agent usw ermittle und gegebenenfalls auch optisch (blinkende leuchten usw) aufmerksam gemacht werde, wenn ungewöhnliche Umstände auftreten. Dann setzte ich gewissen Regeln, die auf den Angreifer zutreffen und per Cron wird laufend eine Blocklist aktualisiert.

Das könnte z.B. sein: Ratio < 0.8sec, empty user-agent, geo-ip ru usw. In den Logs erkennt man nicht ausgewiesene Bots meist gut, da sie in der Regel browsertypische Merkmale schlampig oder gar nicht simulieren und nur Scripte ziehen, nicht aber andere Dateien, auf die ein Browser zugreifen würde, wie z.B. css, js, Bilder usw.

LG,
Jonny 5