Proxys aussperren

[Harry]

Hi,

ich habe eben was gefunden um allgemein Proxys per htaccess zu sperren. Ich frage mich jetzt nur ob das ohne Eigentor tatsächlich funktioniert. Kennt das jemans bzw. hat jamand Erfahrung damit?

# BLOCK PROXY VISITS
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:VIA}                !^$ [OR]
RewriteCond %{HTTP:FORWARDED}          !^$ [OR]
RewriteCond %{HTTP:USERAGENT_VIA}      !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_FOR}    !^$ [OR]
RewriteCond %{HTTP:PROXY_CONNECTION}    !^$ [OR]
RewriteCond %{HTTP:XPROXY_CONNECTION}  !^$ [OR]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP}      !^$
RewriteRule .* - [F]
</IfModule>

 

[Globi]

eigentor?
fragt sich was du damit bezweckst.
normale webseite, oder ein forum/blog, oder ne tube wo zb chinesische ips gespert sind, und du willst die benutzung von proxys verhindern..etz.

grundsaetzlich ist ein proxy ja nichts boeses.

es giebt aber auch proxys die filtern werbung raus
proxys die eigene werbung ueber deinem content einfuegen
proxys die hijacken (die wuerd ich dann eher einzeln aussperren)
oder proxys die zensursulas stopschilder umgehen.
proxys die anonymisieren
boese scripte wie zb xrumer (die kann man aber auch anders aussperren, wie zb captcha/sicherheitsabfrage usw)
usw.

evt. waere es auch sinnvoller proxys umzuleiten, auf ne andere seite, oder ne seite die sagt man solle das proxy ausmachen um die seite zu besuchen.

kommt da echt auf deine absichten, bzw. deine probleme an die du mit proxys hast.

 

[Harry]

im prinzip ist mir das egal wenn manche mit proxy auf meinen seiten surfen, nur in dem fall handelt es sich um eine community wo es nötig ist gewisse leute fern zu halten u. die nutzen dann halt immer wieder proxyserver um stress zu machen.

 

[Globi]

ok, das problem kenn ich, hab ja selber foren.
aber die proxys zu speren wird nicht wirklich helfen, dann musst du auch tor server exit nodes speren und x andere dinger.

als troll brauch ich ja nichtmal ein proxy, da kann ich einfach mein router neustarten, und schon hab ich ne neue ip, falls du diese gebannt hast.

ich habe in meinem sexforum einige user die ein proxy nutzen, oder eben viele tor, und der grund das sie das tun ist nicht weil sie rumtrollen wollen, sondern einfach um sich zu schuetzen.

bei den heutigen gesetzen haben viele user angst algemein auf pornseiten oder eben seiten mit videos und bildern rumzusurfen, das kann ich auch verstehen.

also im grunde wie du sagtest, kann ein schuss nach hinten sein

gegen trolle die bischen internetkenntnis haben bist du machtlos mit einem forum, ausser du schaltest die user von hand frei, und checkst erst ihre ip/herkunft/mail usw. um dann nur auf verdacht zu handeln.

trolle hat man ja nicht immer, sondern die sind ein temporaer auftretendes problem, bis sie ein anderes opfer gefunden haben.

von daher waehrend der trollzeit einfach von hand freischalten, entweder die user, oder nur die beitraege von neulingen.

vorallem solltest du alle trash und wegwerfmails speren, und die user nicht loeschen, sondern nur speren, so brauchen sie jedesmal auch ne neue e-mail.

das wird dann muehsam fuer sie, weil erst ne neue mail registrieren, dann im forum registrieren.
das ist ne menge arbeit, im gegensatz zu dir, du brauchst ja nur ein klick zum sperren

auch anstelle von captcha nutze ich fragen.
zb: wie heisst der bundeskanzler von deutschland?
oder noch schaerfer:
wie heisst der bun des kanzler von deu tschland?

damit hast dann auch gleich alle weg die kein deutsch sprechen
mit der 2ten variante sogar solche die uebersetzer nutzen.

wenn du mehr tips brauchst, melde dich

 

[mesh]

ich habe eben was gefunden um allgemein Proxys per htaccess zu sperren. Ich frage mich jetzt nur ob das ohne Eigentor tatsächlich funktioniert. Kennt das jemans bzw. hat jamand Erfahrung damit?

Was heißt Eigentor?
Gesperrt heißt, daß er nicht mehr reinkommt.
Beispiel: irgendein Clown meint, eine Maschine hacken zu müssen von IP 198.27.108.171:
Wenn Du einen eigenen Server hast:
Methode 1a- nur die IP:
iptables -I INPUT -s 198.27.108.171 -j DROP
service iptables save

Methode 1b- der ganze Block:
iptables -I INPUT -s 198.27.64.0/18 -j DROP
service iptables save

Damit ist für alle Domains auf dem entsprechenden Server Ruhe im Karton für o.g. Bereich.
Anzumerken sei, daß das halt auch für Mail gilt, allerdings werden Attacken auf Nameserver & Co. damit auch wirkungsvoll verhindert, wenn Nameserver auf dieser Maschine liegen.

Oder, wenn man keinen eigenen Server hat, auf Domainbasis per .htaccess:
Methode 2a:
deny from 198.27.108.171

Methode 2b:
deny from 198.27.64.0/18

Bei mir hat es sich als relativ sinnlos erwiesen, bei Hosting-IPs nur eine IP zu sperren, weil die Clowns ja meist mehrere haben. IPs von Zugangsprovidern auf diese Art zu sperren ist nicht pfiffig und könnte o.g. Eigentor sein.So was sollte man nur zeitlich begrenzt machen; unsere Mitbürger aus der Türkei arbeiten gern über gehackte Mobil-Accounts, die dann eben stunden- oder tageweise geblockt sind.
Sehr nervtötend sind OVH-Server around the World sowie Hetzner, über 1000 chinesische Blöcke sind bei mir in den IPTables und täglich werden es mehr. Ausserdem ist Vietnam das neue China.
Ein hacking-attempt und rigoros dicht is'.

 

[Globi]

naja, gegen maschine hacken giebts ja bessere methoden, da waere mir selbst das ip sperren zu bloede.
cpanel drauf, und da hat man genug moeglichkeiten die maschine sicher zu machen.
aber ihm geht es ja nicht um scripte, sondern um menschen die rumtrollen.

 

[mesh]

im prinzip ist mir das egal wenn manche mit proxy auf meinen seiten surfen, nur in dem fall handelt es sich um eine community wo es nötig ist gewisse leute fern zu halten u. die nutzen dann halt immer wieder proxyserver um stress zu machen.

Wenn Du eine LogIn-Seite hast, kannst Du entspechend ein Script einfügen, das gewisse Parameter abfragt.
Es ist bekannt, daß sehr gerne gewisse Browser-Typen eingesetzt werden, dazu bestimmte IP/Spach-Kombinationen.
Das erspart Dir eine Sperre über IPTables oder .htaccess.
Funktioniert bei WordPress-Logins tadellos und ist, je nach System, sehr flexibel auch anderweitig einsetzbar, benötigt aber Pflege einer entsprechenden Datenbank mit Ausschluß-Kriterien.

 

[mesh]

naja, gegen maschine hacken giebts ja bessere methoden, da waere mir selbst das ip sperren zu bloede.
cpanel drauf, und da hat man genug moeglichkeiten die maschine sicher zu machen.
aber ihm geht es ja nicht um scripte, sondern um menschen die rumtrollen.

So wie ich ihn verstanden habe geht es um Proxies und wie man sie draußen hält.

 

[Labla]

Hallo in die Runde,

mir ist keine Möglichkeit bekannt, wie man sich zuverlässig Zugriffe über einen Proxy "schützen" kann.

Ich selber nutze diverse Proxys für eigene Tests, bei denen die Webmaster nie im Leben drauf kommen würden, dass ich über einen Proxy komme.

Bsp.: socks Proxy

1.) ssh -D 12345 <ip des servers>
2.) im Browser als Proxy "socks" + Host 127.0.0.1 + Port 12345
3.) fertig

und schwups komme ich über die IP des Servers (siehe 1.)) mit einem ordentlichen Browser, ohne Proxy Kennung usw.

Das ist nur eine von vielen Möglichkeiten.

Labla

 

[mesh]

So wie ich das sehe geht es darum, daß einer, ohne groß die Trickkiste aufzumachen, über irgendeine IP auf Seiten geht und nervt.
Derjenige wird nicht den großen Ehrgeiz haben, die ganz dicken Geschütze aufzufahren um sein Ziel zu erreichen, also hat man ihn, wenn man denn will, schnell ausgesperrt.
Latürnich gibt es pfiffige Methoden, wie man Seiten aufrufen kann ohne jemals wirklich aufzufallen, tausende IPs stehen für sowas ständig zur Verfügung.
Aber ich denke, darum geht es dem TE hier nicht.

 

[Globi]

was bei mir im einsatz ist, und supper funktioniert ist:

zuerst mal was gegen die nervigen fakemails
Disposable email detection (managed up-to-date list) | Modules for Standard-Software

dann gegen spambots:
Stop Forum Spam

aber zum thema proxis:
da giebt es auch ein proxyguard
Proxy Guard &raquo; Registration Guard
hab ich noch nie getestet, weil macht kein sinn fuer mich.

auch ganze laender kann man zb damit aussperren, siehe countryguard.

 

[thommy]

im prinzip ist mir das egal wenn manche mit proxy auf meinen seiten surfen, nur in dem fall handelt es sich um eine community wo es nötig ist gewisse leute fern zu halten u. die nutzen dann halt immer wieder proxyserver um stress zu machen.

was du da vorhast ist nur bedingt möglich - aber zunächst mal natürlich über ein usermanagement.
d.h.: der user müsste einen account haben den du sperren kannst.

wenn das nicht der fall ist ODER der user sich wieder neu anmeldet, wird die sache schwieriger.
hier könntest du nur mit cookies arbeiten und dann eben keine user reinlassen, die keine cookies akzeptieren.

in der praxis sieht das ungefähr so aus:

user meldet sich neu an - hat nun entweder ein altes cookie das du geblacklistet hast, dann schickst du ihm einfach keine zugangsdaten.

hat er kein cookie - musst du warten bis er wieder stunk macht und erkennbar ist und dann musst du ihn wieder sperren.

nutzt er dazu einen proxy, dann gibt es da eben auch verschiedene:

a. welche die transparaent sind (die leiten dir per http_forwarded_for die original IP des users mit
b. welche die den forwared_for-header nicht mitschicken
c. proxies die das gesetzte cookie an den rechner weiterleiten
d. proxies die das gesetzte cookie lokal bei sich speichern während der session
e. proxies die gar keine cookies akzeptieren

hier wird die auswahl dann schon mal eng. die derzeit beste methode einen user zu erkennen (sofern er nicht ultraclever ist) ist der sogenannte electronic fingerprint - auch brwoser fingerprint genannt.

das geht aber auch nur, wenn der user immer wieder den selben rechner nutzt.

diese technik wird zum beispiel in der werbung eingesetzt und sorgt für stirnrunzeln, wenn man plötzlich auf facebook ne anzeige von einem produkt sieht, dass man irgendwann vorher bei amazon angesehen hat. dann fragt man sich WOHER WISSEN DIE DAS ?

ob sich der aufwand allerding loht ist die andere frage.

die technik basiert auf der kombination von auslesbaren merkmalen, wie z.b. plugin-liste, MIME-type-liste, user-agent und installierte schriftarten.
diese informationen zusammengenommen ergeben eine nahezu eindeutige kombination, an der ein user mit 95% sicherheit erkennbar ist und auch ein proxy würde hiermit weitestgehendst erkennbar sein.

mehr zu dem thema erfährts du hier

auf der page kannst du auch irgendwo einen fingerabdruck deines eigenen systems machen lassen und danach die daten ansehen. dann ist klar warum da doch recht einmalige kombinationen entstehen, die bei der nutzeridentifizierung recht erfolgreich sind.

viel spass im netz

thommy

 

[nachtschattengewaechs]

hier wird die auswahl dann schon mal eng. die derzeit beste methode einen user zu erkennen (sofern er nicht ultraclever ist) ist der sogenannte electronic fingerprint - auch brwoser fingerprint genannt.

Und diese Methode könnte man dann noch mit verschiedenen Formen von Cookies (herkömmliche Cookies, DOM Storage und Flash-Cookies) kombinieren.

Allerdings stellt sich mir die Frage, ob das bei Proxys überhaupt so noch richtig funktioniert. Wenn ich jetzt andere Systeme nutze, die die Daten abrufen, bleibt u.U. doch einiges auf der Strecke.

Die sicherste Methode wird wahrscheinlich sein, neue User erstmal von Hand freizuschalten. Ggf. sollte man dann auch mal schauen, mit welchen E-Mail-Adressen sich die Störer registrieren. Oft sind das ja irgendwelche Wegwerfadressen, die sich schnell und unkompliziert registrieren lassen. Ein normaler User wird solche Adressen aber i.d.R. eher nicht nutzen.

 

[thommy]

Und diese Methode könnte man dann noch mit verschiedenen Formen von Cookies (herkömmliche Cookies, DOM Storage und Flash-Cookies) kombinieren.

jup das kann man natürlich noch um verschiedene weitere dinge ausweiten, wie zum beispile ein flash cookie. die dinger werden aber schon jetzt fast nicht mehr akzeptiert und wenn dann maximal für die session.

Allerdings stellt sich mir die Frage, ob das bei Proxys überhaupt so noch richtig funktioniert. Wenn ich jetzt andere Systeme nutze, die die Daten abrufen, bleibt u.U. doch einiges auf der Strecke.

es kommt auf die methodik an. es gibt auch eine ähnliche die nennt sich canvas fingerprint. die ist sogar noch zuverlässiger als browser fingerprint aber auch dagegen laufen schon einige sturm.

canvas fingerprint basiert auf der rendering technik von browsern. das heisst hier wird ein kleines bild vom browser gerendert. und hier ist es wirklich so, dass 99,99999% aller browser das bild nicht identisch rendern und daher würde die bilddatei so etwas wie einen genschlüssel ergeben, an dem man den browser auf dem individuellen rechner erkennen kann. AddThis z.b. hat diese technik im hintergrund.

Die sicherste Methode wird wahrscheinlich sein, neue User erstmal von Hand freizuschalten. Ggf. sollte man dann auch mal schauen, mit welchen E-Mail-Adressen sich die Störer registrieren. Oft sind das ja irgendwelche Wegwerfadressen, die sich schnell und unkompliziert registrieren lassen. Ein normaler User wird solche Adressen aber i.d.R. eher nicht nutzen.

da wirds aber enorm aufwändig und mit einem free-angebot nicht mehr monetarisierbar.

wir haben jahreland o.g. techniken zum betrugsschutz genutzt UND zusätzlich die händische methode. und trotzdem sind immer wieder ein paar heinies durchgerutscht.

also eine 100%-sicherheit gibts leider nicht. zumal dann nicht, wenn der user mehrere geräte nutzt.

viel spass im netz

thommy

 

[nachtschattengewaechs]

da wirds aber enorm aufwändig und mit einem free-angebot nicht mehr monetarisierbar.

Wenn ich das richtig verstanden habe, geht es im speziellen Fall um ein Forum o.ä. bei dem einige Trolle auftreten. Das ohne händisches Eingreifen in den Griff zu bekommen, wird meiner Meinung nach schwierig. Man muss es den Trollen so schwer machen, dass das Trollen mit zu hohem Aufwand verbunden ist. Dann zieht der Troll irgendwann weiter und sucht sich ein leichteres Ziel.

User erst nach kurzer Prüfung freizuschalten und evtl. die ersten 1-2 Beiträge nicht sofort sondern auch erst nach Überprüfung freizugeben, ist wahrscheinlich in 99% aller Fälle ausreichend. Hier gibt es ja viele Ansatzpunkte und das ist wahrscheinlich auf Dauer weniger aufwändig, als permanent die Trolle rauszukicken, nachdem sie ihren Müll abgelassen haben.

 

[thommy]

Wenn ich das richtig verstanden habe, geht es im speziellen Fall um ein Forum o.ä. bei dem einige Trolle auftreten. Das ohne händisches Eingreifen in den Griff zu bekommen, wird meiner Meinung nach schwierig. Man muss es den Trollen so schwer machen, dass das Trollen mit zu hohem Aufwand verbunden ist. Dann zieht der Troll irgendwann weiter und sucht sich ein leichteres Ziel.

User erst nach kurzer Prüfung freizuschalten und evtl. die ersten 1-2 Beiträge nicht sofort sondern auch erst nach Überprüfung freizugeben, ist wahrscheinlich in 99% aller Fälle ausreichend. Hier gibt es ja viele Ansatzpunkte und das ist wahrscheinlich auf Dauer weniger aufwändig, als permanent die Trolle rauszukicken, nachdem sie ihren Müll abgelassen haben.

jup - sehe ich auch so.
zumal alles andere auch immer die gefahr birgt die braven auszusperren.

viel spass im netz

thommy