UPDATE
Dieser Artikel ist veraltet. Die abuse.ch HTTP abuser list wurde in eine DNSBL umgewandelt. Siehe “Neue Blacklist: httpbl.abuse.ch”
Vor kurzem habe ich aus Neugier einige Honeypots auf meiner Webseite installiert. Die Honeypots emulieren z.B. eine C99Shell oder ein nicht-passwort geschützter phpmyadmin Bereich. Schon nach kurzer Zeit hatte regen Besuch von ca. 5 “Besucher” (eine bessere Bezeichnung währe wohl “Script Kiddies”) pro Tag.
Das Ergebnis meiner Neugierde ist die abuse.ch HTTP abuser list. Wenn ein Script Kiddie oder ein Möchtegern Hacker auf einer meiner Honeypot stösst, wird automatisch ein Eintrag in der abuse.ch HTTP abuser list generiert. Die aktuelle Liste kann unter www.abuse.ch/http-honeypot/abusers.php eingesehen werden.
Für diejenigen Webmaster unter euch, welche nun präventiv den Zugriff von diesen IP-Adressen blocken möchten, gibt es folgende Möglichkeiten;
IP-Adressen Ban via .htaccess Datei auf Webserver
Die einfachste Methode ist, den Zugriff via einer .htaccess Datei zu blockieren. Unter www.abuse.ch/http-honeypot/abusers.txt ist eine vorgefertigte .htaccess Datei zu finden. Ihr k̦nnt einfach den Inhalt der Datei in euer .htaccess-file kopieren und der Zugriff von den aufgelisteten IP-Adressen wird mit dem HTTP-Fehlercode 403 РForbidden verhindert.
IP-Adressen Ban für WordPress Benutzer
Die zweite Möglichkeit ist, die IP-Adressen mittels dem WP Ban Plugins für WordPress (download zu blockieren. Der Zugriff kann einfach gesperrt werden, indem die IP-Adressen in der Datei www.abuse.ch/http-honeypot/abusers.wp.txt in das WP Ban Plugin importiert werden.
Die beiden Text Dateien abusers.txt und abusers.wp.txt werden einmal Täglich aktualisiert. Ich empfehle euch, regelmässig die aktuellste Blocklist zu ziehen.
Zack und schon hast vielleicht einen neuen Besucher gefunden.. mich
War gestern auf der Cebit und habe dort ein paar Vorträge zu diesem Thema gesehen und mich nun auf die Suche gemacht nach Anleitungen und Scripten um meine eigenen Seiten mal unter die Lupe zu nehmen.
alles bei Eingabe von r57.php findet man bei Google einige Seiten wo man zb direkt die r57shell bekommt und loslegen kann
Danke für die Liste!
Sie wurde bei uns nun in alle htaccess-Dateien hinzugefügt. Leider haben wir diese Seite zu spät bemerkt und deshalb ein php Shellscript eingefangen (Mailbomber – Dateiname ekwe.php).
Nun läuft aber wieder alles.
abuse.chHallo,
wo kann man denn jetzt die htaccess-Liste bekommen? http://www.abuse.ch/http-honeypot/abusers.txt geht leider nicht mehr und auf der neuen Seite finde ich sie auch nicht.